Domain-Name-System
如何向公眾阻止本地 ns 記錄?
我在 NAT 後面有一個 DNS 和活動目錄伺服器(我必須這樣做)。在 DNS 伺服器上,AD 自動為私有 IP 地址添加 NS 記錄。如何設置策略以響應特定子網的本地 NS 記錄?
abc.com 10.0.0.2 private 1.1.1.2 public
當我查詢名稱伺服器時,它返回兩條 NS 記錄。
我需要這樣的政策;
When query comes from 10.0.0.0/8 it should return 10.0.0.2 NS record When query comes from any other ip it should retun 1.1.1.2 NS record
您可以使用 DisableNSRecordsAutoCreation 系統資料庫值來禁用域控制器的自動 NS 記錄註冊:
Key: HKLM\System\CurrentControlSet\Services\DNS\Parameters\ Value: DisableNSRecordsAutoCreation Value Type: REG_DWORD Value Data: 0x1
您還應該使用 PublishAddresses 系統資料庫值來防止您的外部/公共地址在內部被公佈。
Key: HKLM\System\CurrentControlSet\Services\DNS\Parameters\ Value: PublishAddresses Value Type: REG_SZ Value Data: ip address(es), separated by spaces if multiple
為了完全支持這些要求,您可以利用 Windows Server 2016 DNS 的新功能。請參閱以下內容:
https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/what-s-new-in-dns-server
DNS 策略
您可以將 DNS 策略用於基於地理位置的流量管理、基於一天中的時間的智能 DNS 響應、管理為裂腦部署配置的單個 DNS 伺服器、對 DNS 查詢應用過濾器等。以下各項提供了有關這些功能的更多詳細資訊。
- 基於地理位置的交通管理。您可以使用 DNS 策略允許主 DNS 伺服器和輔助 DNS 伺服器根據客戶端的地理位置和客戶端嘗試連接的資源來響應 DNS 客戶端查詢,為客戶端提供最近資源的 IP 地址.
- 裂腦 DNS。使用裂腦 DNS,DNS 記錄在同一 DNS 伺服器上被拆分為不同的區域範圍,DNS 客戶端根據客戶端是內部客戶端還是外部客戶端接收響應。您可以為 Active Directory 集成區域或獨立 DNS 伺服器上的區域配置裂腦 DNS。