本章節補充介紹在 Windows Server 2016 中域名系統 (DNS) 服務器新增或已更改的功能相關信息,具體內容如下:
|
功能 |
新增或改進 | 描述 |
| DNS 策略 | 新增 | 您可以配置 DNS 策略,若要指定 DNS 服務器響應 DNS 查詢的方式。 客戶端 IP 地址(位置),可以基於 DNS 響應時間天,以及一些其他參數。 DNS 策略啓用位置感知 DNS、交通管理、負載平衡、裂 DNS 和其他情況。 |
| 響應速率限制 (RRL) | 新增 | 你可以啓用響應 DNS 服務器上的速率限制。 通過執行此操作,你避免惡意通過以下 DNS 服務器啓動拒絕 DNS 客戶端上服務攻擊的系統。 |
| 基於 DNS 命名的實體 (DANE) 的身份驗證 | 新增 | 你可以使用 TLSA (傳輸層安全性身份驗證) 記錄以信息提供給 DNS 客戶端,指出他們很有可能會從你的域名證書哪些 CA。 這可以防止某人可能會在此處損壞 DNS 緩存指向其自己的網站,並提供他們頒發的不同 CA 證書攔截中攻擊。 |
| 未知的記錄支持 | 新增 | 你可以添加明確不支持使用未知的記錄功能的 Windows DNS 服務器的記錄。 |
| IPv6 根提示 | 新增 | 你可以使用原始 IPV6 根提示支持執行 Internet 名稱分辨率使用 IPV6 根服務器。 |
| Windows PowerShell 支持 | 改進 | 新的 Windows PowerShell cmdlet 是適用於 DNS 服務器。 |
DNS策略
您可以將DNS策略用於基於地理位置的流量管理,基於一天中的時間的智能DNS響應,管理爲裂腦配置配置的單個DNS服務器,應用DNS查詢的過濾器等。 以下各項提供有關這些功能的更多詳細信息。
-
應用程序負載平衡:在不同位置部署應用程序的多個實例時,可以使用DNS策略來平衡不同應用程序實例之間的流量負載,從而動態分配應用程序的流量負載。
-
基於地理位置的資源管理: 您可以使用DNS策略允許主DNS服務器和輔助DNS服務器根據客戶端和客戶端嘗試連接的資源的地理位置響應DNS客戶端查詢,從而爲客戶端提供最近資源的IP地址。
-
腦裂DNS:使用腦裂DNS,DNS記錄在同一DNS服務器上拆分爲不同的區域範圍,DNS客戶端根據客戶端是內部客戶端還是外部客戶端接收響應。您可以爲Active Directory集成區域或獨立DNS服務器上的區域配置腦裂DNS。
-
過濾:您可以配置DNS策略以創建基於您提供的條件的查詢過濾器。DNS策略中的查詢過濾器允許您配置DNS服務器以基於發送DNS查詢的DNS查詢和DNS客戶端以自定義方式進行響應。
-
取證: 您可以使用DNS策略將惡意DNS客戶端重定向到不存在的IP地址,而不是將它們定向到他們嘗試訪問的計算機。
-
基於時間的重定向: 您可以使用DNS策略通過使用基於時間的DNS策略在應用程序的不同地理分佈實例之間分發應用程序流量。
您還可以將DNS策略用於Active Directory集成DNS區域。
響應率限制
您可以配置RRL設置,以控制在服務器收到針對同一客戶端的多個請求時如何響應對DNS客戶端的請求。 通過執行此操作,您可以阻止某人使用您的DNS服務器發送拒絕服務(Dos)攻擊。例如,殭屍網絡可以使用第三臺計算機的IP地址作爲請求者向DNS服務器發送請求。如果沒有RRL,您的DNS服務器可能會響應所有請求,充斥第三臺計算機。使用RRL時,可以配置以下設置:
-
每秒回覆。 這是在一秒鐘內向客戶端提供相同響應的最大次數。
-
每秒錯誤。 這是在一秒鐘內將錯誤響應發送到同一客戶端的最大次數。
-
窗口。 這是在發出太多請求時將暫停對客戶端的響應的秒數。
-
泄漏率。 這是DNS服務器在響應暫停期間響應查詢的頻率。例如,如果服務器暫停對客戶端的響應10秒,並且泄漏率爲5,則服務器仍將針對發送的每5個查詢響應一個查詢。即使DNS服務器在其子網或FQDN上應用響應速率限制,這也允許合法客戶端獲得響應。
-
TC率。 這用於告訴客戶端在暫停對客戶端的響應時嘗試連接TCP。例如,如果TC速率爲3,並且服務器暫停對給定客戶端的響應,則服務器將爲收到的每3個查詢發出TCP連接請求。確保TC速率的值低於泄漏率,以便客戶端在泄漏響應之前通過TCP連接。
-
最大響應。 這是響應被暫停時服務器將向客戶端發出的最大響應數。
-
白名單域名。 這是要從RRL設置中排除的域列表。
-
白名單子網。 這是要從RRL設置中排除的子網列表。
-
白名單服務器接口。 這是要從RRL設置中排除的DNS服務器接口列表。
DANE支持
您可以使用DANE支持(RFC 6394和6698)向DNS客戶端指定他們應該爲DNS服務器中託管的域名發佈哪些CA。 這可以防止某種形式的中間人攻擊,即有人能夠破壞DNS緩存並將DNS名稱指向他們自己的IP地址。
未知的記錄支持
“未知記錄”是RR服務器不知道其RDATA格式的RR。 新添加的對未知記錄(RFC 3597)類型的支持意味着您可以以二進制聯機格式將不支持的記錄類型添加到Windows DNS服務器區域中。Windows緩存解析器已具備處理未知記錄類型的能力。Windows DNS服務器不會對未知記錄執行任何記錄特定處理,但如果收到查詢,則會將其發送迴響應。
IPv6根提示
IANA發佈的IPV6根提示已添加到Windows DNS服務器。 Internet名稱查詢現在可以使用IPv6根服務器執行名稱解析。
Windows PowerShell支持
Windows Server 2016中引入了以下新的Windows PowerShell cmdlet和參數。
-
Add-DnsServerRecursionScope。 此cmdlet在DNS服務器上創建新的遞歸範圍。DNS策略使用遞歸作用域來指定要在DNS查詢中使用的轉發器列表。
-
Remove-DnsServerRecursionScope。 此cmdlet刪除現有的遞歸範圍。
-
Set-DnsServerRecursionScope。 此cmdlet更改現有遞歸範圍的設置。
-
Get-DnsServerRecursionScope。 此cmdlet檢索有關現有遞歸範圍的信息。
-
Add-DnsServerClientSubnet。 此cmdlet創建新的DNS客戶端子網。DNS策略使用子網來標識DNS客戶端的位置。
-
Remove-DnsServerClientSubnet。 此cmdlet刪除現有的DNS客戶端子網。
-
Set-DnsServerClientSubnet。 此cmdlet更改現有DNS客戶端子網的設置。
-
Get-DnsServerClientSubnet。 此cmdlet檢索有關現有DNS客戶端子網的信息。
-
Add-DnsServerQueryResolutionPolicy。 此cmdlet創建新的DNS查詢解析策略。DNS查詢解析策略用於根據不同的標準指定查詢的響應方式或響應方式。
-
Remove-DnsServerQueryResolutionPolicy。 此cmdlet刪除現有DNS策略。
-
Set-DnsServerQueryResolutionPolicy。 此cmdlet更改現有DNS策略的設置。
-
Get-DnsServerQueryResolutionPolicy。 此cmdlet檢索有關現有DNS策略的信息。
-
Enable-DnsServerPolicy。 此cmdlet啓用現有DNS策略。
-
Disable-DnsServerPolicy。 此cmdlet禁用現有DNS策略。
-
Add-DnsServerZoneTransferPolicy。 此cmdlet創建新的DNS服務器區域傳輸策略。DNS區域傳輸策略指定是否根據不同條件拒絕或忽略區域傳輸。
-
Remove-DnsServerZoneTransferPolicy。 此cmdlet刪除現有的DNS服務器區域傳輸策略。
-
Set-DnsServerZoneTransferPolicy。 此cmdlet更改現有DNS服務器區域傳輸策略的設置。
-
Get-DnsServerResponseRateLimiting。 此cmdlet檢索RRL設置。
-
Set-DnsServerResponseRateLimiting。 此cmdlet更改RRL settigns。
-
Add-DnsServerResponseRateLimitingExceptionlist。 此cmdlet在DNS服務器上創建RRL例外列表。
-
Get-DnsServerResponseRateLimitingExceptionlist。 此cmdlet檢索RRL排除列表。
-
Remove-DnsServerResponseRateLimitingExceptionlist。 此cmdlet刪除現有RRL例外列表。
-
Set-DnsServerResponseRateLimitingExceptionlist。 此cmdlet更改RRL例外列表。
-
Add-DnsServerResourceRecord。 此cmdlet已更新爲支持未知記錄類型。
-
Get-DnsServerResourceRecord。 此cmdlet已更新爲支持未知記錄類型。
-
Remove-DnsServerResourceRecord。 此cmdlet已更新爲支持未知記錄類型。
-
Set-DnsServerResourceRecord。 此cmdlet已更新爲支持未知記錄類型