Domain-Name-System

如何向公眾阻止本地 ns 記錄?

  • March 21, 2017

我在 NAT 後面有一個 DNS 和活動目錄伺服器(我必須這樣做)。在 DNS 伺服器上,AD 自動為私有 IP 地址添加 NS 記錄。如何設置策略以響應特定子網的本地 NS 記錄?

abc.com
10.0.0.2 private
1.1.1.2 public

當我查詢名稱伺服器時,它返回兩條 NS 記錄。

我需要這樣的政策;

When query comes from 10.0.0.0/8 it should return 10.0.0.2 NS record
When query comes from any other ip it should retun 1.1.1.2 NS record

您可以使用 DisableNSRecordsAutoCreation 系統資料庫值來禁用域控制器的自動 NS 記錄註冊:

Key: HKLM\System\CurrentControlSet\Services\DNS\Parameters\
Value: DisableNSRecordsAutoCreation
Value Type: REG_DWORD
Value Data: 0x1

您還應該使用 PublishAddresses 系統資料庫值來防止您的外部/公共地址在內部被公佈。

Key: HKLM\System\CurrentControlSet\Services\DNS\Parameters\
Value: PublishAddresses  
Value Type: REG_SZ
Value Data: ip address(es), separated by spaces if multiple  

為了完全支持這些要求,您可以利用 Windows Server 2016 DNS 的新功能。請參閱以下內容:

https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/what-s-new-in-dns-server

DNS 策略

您可以將 DNS 策略用於基於地理位置的流量管理、基於一天中的時間的智能 DNS 響應、管理為裂腦部署配置的單個 DNS 伺服器、對 DNS 查詢應用過濾器等。以下各項提供了有關這些功能的更多詳細資訊。

  • 基於地理位置的交通管理。您可以使用 DNS 策略允許主 DNS 伺服器和輔助 DNS 伺服器根據客戶端的地理位置和客戶端嘗試連接的資源來響應 DNS 客戶端查詢,為客戶端提供最近資源的 IP 地址.
  • 裂腦 DNS。使用裂腦 DNS,DNS 記錄在同一 DNS 伺服器上被拆分為不同的區域範圍,DNS 客戶端根據客戶端是內部客戶端還是外部客戶端接收響應。您可以為 Active Directory 集成區域或獨立 DNS 伺服器上的區域配置裂腦 DNS。

引用自:https://serverfault.com/questions/839707