本章节补充介绍在 Windows Server 2016 中域名系统 (DNS) 服务器新增或已更改的功能相关信息,具体内容如下:
功能 | 新增或改进 | 描述 |
DNS 策略 | 新增 | 您可以配置 DNS 策略,若要指定 DNS 服务器响应 DNS 查询的方式。 客户端 IP 地址(位置),可以基于 DNS 响应时间天,以及一些其他参数。 DNS 策略启用位置感知 DNS、交通管理、负载平衡、裂 DNS 和其他情况。 |
响应速率限制 (RRL) | 新增 | 你可以启用响应 DNS 服务器上的速率限制。 通过执行此操作,你避免恶意通过以下 DNS 服务器启动拒绝 DNS 客户端上服务***的系统。 |
基于 DNS 命名的实体 (DANE) 的身份验证 | 新增 | 你可以使用 TLSA (传输层安全性身份验证) 记录以信息提供给 DNS 客户端,指出他们很有可能会从你的域名证书哪些 CA。 这可以防止某人可能会在此处损坏 DNS 缓存指向其自己的网站,并提供他们颁发的不同 CA 证书拦截中***。 |
未知的记录支持 | 新增 | 你可以添加明确不支持使用未知的记录功能的 Windows DNS 服务器的记录。 |
IPv6 根提示 | 新增 | 你可以使用原始 IPV6 根提示支持执行 Internet 名称分辨率使用 IPV6 根服务器。 |
Windows PowerShell 支持 | 改进 | 新的 Windows PowerShell cmdlet 是适用于 DNS 服务器。 |
DNS策略
您可以将DNS策略用于基于地理位置的流量管理,基于一天中的时间的智能DNS响应,管理为裂脑配置配置的单个DNS服务器,应用DNS查询的过滤器等。 以下各项提供有关这些功能的更多详细信息。
应用程序负载平衡:在不同位置部署应用程序的多个实例时,可以使用DNS策略来平衡不同应用程序实例之间的流量负载,从而动态分配应用程序的流量负载。
基于地理位置的资源管理: 您可以使用DNS策略允许主DNS服务器和辅助DNS服务器根据客户端和客户端尝试连接的资源的地理位置响应DNS客户端查询,从而为客户端提供最近资源的IP地址。
脑裂DNS:使用脑裂DNS,DNS记录在同一DNS服务器上拆分为不同的区域范围,DNS客户端根据客户端是内部客户端还是外部客户端接收响应。您可以为Active Directory集成区域或独立DNS服务器上的区域配置脑裂DNS。
过滤:您可以配置DNS策略以创建基于您提供的条件的查询过滤器。DNS策略中的查询过滤器允许您配置DNS服务器以基于发送DNS查询的DNS查询和DNS客户端以自定义方式进行响应。
取证: 您可以使用DNS策略将恶意DNS客户端重定向到不存在的IP地址,而不是将它们定向到他们尝试访问的计算机。
基于时间的重定向: 您可以使用DNS策略通过使用基于时间的DNS策略在应用程序的不同地理分布实例之间分发应用程序流量。
您还可以将DNS策略用于Active Directory集成DNS区域。
响应率限制
您可以配置RRL设置,以控制在服务器收到针对同一客户端的多个请求时如何响应对DNS客户端的请求。 通过执行此操作,您可以阻止某人使用您的DNS服务器发送拒绝服务(Dos)***。例如,僵尸网络可以使用第三台计算机的IP地址作为请求者向DNS服务器发送请求。如果没有RRL,您的DNS服务器可能会响应所有请求,充斥第三台计算机。使用RRL时,可以配置以下设置:
每秒回复。 这是在一秒钟内向客户端提供相同响应的最大次数。
每秒错误。 这是在一秒钟内将错误响应发送到同一客户端的最大次数。
窗口。 这是在发出太多请求时将暂停对客户端的响应的秒数。
泄漏率。 这是DNS服务器在响应暂停期间响应查询的频率。例如,如果服务器暂停对客户端的响应10秒,并且泄漏率为5,则服务器仍将针对发送的每5个查询响应一个查询。即使DNS服务器在其子网或FQDN上应用响应速率限制,这也允许合法客户端获得响应。
TC率。 这用于告诉客户端在暂停对客户端的响应时尝试连接TCP。例如,如果TC速率为3,并且服务器暂停对给定客户端的响应,则服务器将为收到的每3个查询发出TCP连接请求。确保TC速率的值低于泄漏率,以便客户端在泄漏响应之前通过TCP连接。
最大响应。 这是响应被暂停时服务器将向客户端发出的最大响应数。
白名单域名。 这是要从RRL设置中排除的域列表。
白名单子网。 这是要从RRL设置中排除的子网列表。
白名单服务器接口。 这是要从RRL设置中排除的DNS服务器接口列表。
DANE支持
您可以使用DANE支持(RFC 6394和6698)向DNS客户端指定他们应该为DNS服务器中托管的域名发布哪些CA。 这可以防止某种形式的中间人***,即有人能够破坏DNS缓存并将DNS名称指向他们自己的IP地址。
未知的记录支持
“未知记录”是RR服务器不知道其RDATA格式的RR。 新添加的对未知记录(RFC 3597)类型的支持意味着您可以以二进制联机格式将不支持的记录类型添加到Windows DNS服务器区域中。Windows缓存解析器已具备处理未知记录类型的能力。Windows DNS服务器不会对未知记录执行任何记录特定处理,但如果收到查询,则会将其发送回响应。
IPv6根提示
IANA发布的IPV6根提示已添加到Windows DNS服务器。 Internet名称查询现在可以使用IPv6根服务器执行名称解析。
Windows PowerShell支持
Windows Server 2016中引入了以下新的Windows PowerShell cmdlet和参数。
Add-DnsServerRecursionScope。 此cmdlet在DNS服务器上创建新的递归范围。DNS策略使用递归作用域来指定要在DNS查询中使用的转发器列表。
Remove-DnsServerRecursionScope。 此cmdlet删除现有的递归范围。
Set-DnsServerRecursionScope。 此cmdlet更改现有递归范围的设置。
Get-DnsServerRecursionScope。 此cmdlet检索有关现有递归范围的信息。
Add-DnsServerClientSubnet。 此cmdlet创建新的DNS客户端子网。DNS策略使用子网来标识DNS客户端的位置。
Remove-DnsServerClientSubnet。 此cmdlet删除现有的DNS客户端子网。
Set-DnsServerClientSubnet。 此cmdlet更改现有DNS客户端子网的设置。
Get-DnsServerClientSubnet。 此cmdlet检索有关现有DNS客户端子网的信息。
Add-DnsServerQueryResolutionPolicy。 此cmdlet创建新的DNS查询解析策略。DNS查询解析策略用于根据不同的标准指定查询的响应方式或响应方式。
Remove-DnsServerQueryResolutionPolicy。 此cmdlet删除现有DNS策略。
Set-DnsServerQueryResolutionPolicy。 此cmdlet更改现有DNS策略的设置。
Get-DnsServerQueryResolutionPolicy。 此cmdlet检索有关现有DNS策略的信息。
Enable-DnsServerPolicy。 此cmdlet启用现有DNS策略。
Disable-DnsServerPolicy。 此cmdlet禁用现有DNS策略。
Add-DnsServerZoneTransferPolicy。 此cmdlet创建新的DNS服务器区域传输策略。DNS区域传输策略指定是否根据不同条件拒绝或忽略区域传输。
Remove-DnsServerZoneTransferPolicy。 此cmdlet删除现有的DNS服务器区域传输策略。
Set-DnsServerZoneTransferPolicy。 此cmdlet更改现有DNS服务器区域传输策略的设置。
Get-DnsServerResponseRateLimiting。 此cmdlet检索RRL设置。
Set-DnsServerResponseRateLimiting。 此cmdlet更改RRL settigns。
Add-DnsServerResponseRateLimitingExceptionlist。 此cmdlet在DNS服务器上创建RRL例外列表。
Get-DnsServerResponseRateLimitingExceptionlist。 此cmdlet检索RRL排除列表。
Remove-DnsServerResponseRateLimitingExceptionlist。 此cmdlet删除现有RRL例外列表。
Set-DnsServerResponseRateLimitingExceptionlist。 此cmdlet更改RRL例外列表。
Add-DnsServerResourceRecord。 此cmdlet已更新为支持未知记录类型。
Get-DnsServerResourceRecord。 此cmdlet已更新为支持未知记录类型。
Remove-DnsServerResourceRecord。 此cmdlet已更新为支持未知记录类型。
Set-DnsServerResourceRecord。 此cmdlet已更新为支持未知记录类型