Windows Server 2016-DNS服務(wù)端新增和改進功能

本章節(jié)補充介紹在 Windows Server 2016 中域名系統(tǒng) (DNS) 服務(wù)器新增及已更改的功能相關(guān)信息，具體內(nèi)容如下：

DNS策略

您可以將DNS策略用于基于地理位置的流量管理，基于一天中的時間的智能DNS響應(yīng)，管理為裂腦配置配置的單個DNS服務(wù)器，應(yīng)用DNS查詢的過濾器等。 以下各項提供有關(guān)這些功能的更多詳細信息。

• 應(yīng)用程序負載平衡：在不同位置部署應(yīng)用程序的多個實例時，可以使用DNS策略來平衡不同應(yīng)用程序?qū)嵗g的流量負載，從而動態(tài)分配應(yīng)用程序的流量負載。

• 基于地理位置的資源管理： 您可以使用DNS策略允許主DNS服務(wù)器和輔助DNS服務(wù)器根據(jù)客戶端和客戶端嘗試連接的資源的地理位置響應(yīng)DNS客戶端查詢，從而為客戶端提供最近資源的IP地址。

• 腦裂DNS：使用腦裂DNS，DNS記錄在同一DNS服務(wù)器上拆分為不同的區(qū)域范圍，DNS客戶端根據(jù)客戶端是內(nèi)部客戶端還是外部客戶端接收響應(yīng)。您可以為Active Directory集成區(qū)域或獨立DNS服務(wù)器上的區(qū)域配置腦裂DNS。

• 過濾：您可以配置DNS策略以創(chuàng)建基于您提供的條件的查詢過濾器。DNS策略中的查詢過濾器允許您配置DNS服務(wù)器以基于發(fā)送DNS查詢的DNS查詢和DNS客戶端以自定義方式進行響應(yīng)。

• 取證： 您可以使用DNS策略將惡意DNS客戶端重定向到不存在的IP地址，而不是將它們定向到他們嘗試訪問的計算機。

• 基于時間的重定向： 您可以使用DNS策略通過使用基于時間的DNS策略在應(yīng)用程序的不同地理分布實例之間分發(fā)應(yīng)用程序流量。

您還可以將DNS策略用于Active Directory集成DNS區(qū)域。

響應(yīng)率限制

您可以配置RRL設(shè)置，以控制在服務(wù)器收到針對同一客戶端的多個請求時如何響應(yīng)對DNS客戶端的請求。 通過執(zhí)行此操作，您可以阻止某人使用您的DNS服務(wù)器發(fā)送拒絕服務(wù)（Dos）***。例如，僵尸網(wǎng)絡(luò)可以使用第三臺計算機的IP地址作為請求者向DNS服務(wù)器發(fā)送請求。如果沒有RRL，您的DNS服務(wù)器可能會響應(yīng)所有請求，充斥第三臺計算機。使用RRL時，可以配置以下設(shè)置：

• 每秒回復(fù)。 這是在一秒鐘內(nèi)向客戶端提供相同響應(yīng)的最大次數(shù)。

• 每秒錯誤。 這是在一秒鐘內(nèi)將錯誤響應(yīng)發(fā)送到同一客戶端的最大次數(shù)。

• 窗口。 這是在發(fā)出太多請求時將暫停對客戶端的響應(yīng)的秒數(shù)。

• 泄漏率。 這是DNS服務(wù)器在響應(yīng)暫停期間響應(yīng)查詢的頻率。例如，如果服務(wù)器暫停對客戶端的響應(yīng)10秒，并且泄漏率為5，則服務(wù)器仍將針對發(fā)送的每5個查詢響應(yīng)一個查詢。即使DNS服務(wù)器在其子網(wǎng)或FQDN上應(yīng)用響應(yīng)速率限制，這也允許合法客戶端獲得響應(yīng)。

• TC率。 這用于告訴客戶端在暫停對客戶端的響應(yīng)時嘗試連接TCP。例如，如果TC速率為3，并且服務(wù)器暫停對給定客戶端的響應(yīng)，則服務(wù)器將為收到的每3個查詢發(fā)出TCP連接請求。確保TC速率的值低于泄漏率，以便客戶端在泄漏響應(yīng)之前通過TCP連接。

• 最大響應(yīng)。 這是響應(yīng)被暫停時服務(wù)器將向客戶端發(fā)出的最大響應(yīng)數(shù)。

• 白名單域名。 這是要從RRL設(shè)置中排除的域列表。

• 白名單子網(wǎng)。 這是要從RRL設(shè)置中排除的子網(wǎng)列表。

• 白名單服務(wù)器接口。 這是要從RRL設(shè)置中排除的DNS服務(wù)器接口列表。

DANE支持

您可以使用DANE支持（RFC 6394和6698）向DNS客戶端指定他們應(yīng)該為DNS服務(wù)器中托管的域名發(fā)布哪些CA。 這可以防止某種形式的中間人***，即有人能夠破壞DNS緩存并將DNS名稱指向他們自己的IP地址。

未知的記錄支持

“未知記錄”是RR服務(wù)器不知道其RDATA格式的RR。 新添加的對未知記錄（RFC 3597）類型的支持意味著您可以以二進制聯(lián)機格式將不支持的記錄類型添加到Windows DNS服務(wù)器區(qū)域中。Windows緩存解析器已具備處理未知記錄類型的能力。Windows DNS服務(wù)器不會對未知記錄執(zhí)行任何記錄特定處理，但如果收到查詢，則會將其發(fā)送回響應(yīng)。

IPv6根提示

IANA發(fā)布的IPV6根提示已添加到Windows DNS服務(wù)器。 Internet名稱查詢現(xiàn)在可以使用IPv6根服務(wù)器執(zhí)行名稱解析。

Windows PowerShell支持

Windows Server 2016中引入了以下新的Windows PowerShell cmdlet和參數(shù)。

• Add-DnsServerRecursionScope。 此cmdlet在DNS服務(wù)器上創(chuàng)建新的遞歸范圍。DNS策略使用遞歸作用域來指定要在DNS查詢中使用的轉(zhuǎn)發(fā)器列表。

• Remove-DnsServerRecursionScope。 此cmdlet刪除現(xiàn)有的遞歸范圍。

• Set-DnsServerRecursionScope。 此cmdlet更改現(xiàn)有遞歸范圍的設(shè)置。

• Get-DnsServerRecursionScope。 此cmdlet檢索有關(guān)現(xiàn)有遞歸范圍的信息。

• Add-DnsServerClientSubnet。 此cmdlet創(chuàng)建新的DNS客戶端子網(wǎng)。DNS策略使用子網(wǎng)來標識DNS客戶端的位置。

• Remove-DnsServerClientSubnet。 此cmdlet刪除現(xiàn)有的DNS客戶端子網(wǎng)。

• Set-DnsServerClientSubnet。 此cmdlet更改現(xiàn)有DNS客戶端子網(wǎng)的設(shè)置。

• Get-DnsServerClientSubnet。 此cmdlet檢索有關(guān)現(xiàn)有DNS客戶端子網(wǎng)的信息。

• Add-DnsServerQueryResolutionPolicy。 此cmdlet創(chuàng)建新的DNS查詢解析策略。DNS查詢解析策略用于根據(jù)不同的標準指定查詢的響應(yīng)方式或響應(yīng)方式。

• Remove-DnsServerQueryResolutionPolicy。 此cmdlet刪除現(xiàn)有DNS策略。

• Set-DnsServerQueryResolutionPolicy。 此cmdlet更改現(xiàn)有DNS策略的設(shè)置。

• Get-DnsServerQueryResolutionPolicy。 此cmdlet檢索有關(guān)現(xiàn)有DNS策略的信息。

• Enable-DnsServerPolicy。 此cmdlet啟用現(xiàn)有DNS策略。

• Disable-DnsServerPolicy。 此cmdlet禁用現(xiàn)有DNS策略。

• Add-DnsServerZoneTransferPolicy。 此cmdlet創(chuàng)建新的DNS服務(wù)器區(qū)域傳輸策略。DNS區(qū)域傳輸策略指定是否根據(jù)不同條件拒絕或忽略區(qū)域傳輸。

• Remove-DnsServerZoneTransferPolicy。 此cmdlet刪除現(xiàn)有的DNS服務(wù)器區(qū)域傳輸策略。

• Set-DnsServerZoneTransferPolicy。 此cmdlet更改現(xiàn)有DNS服務(wù)器區(qū)域傳輸策略的設(shè)置。

• Get-DnsServerResponseRateLimiting。 此cmdlet檢索RRL設(shè)置。

• Set-DnsServerResponseRateLimiting。 此cmdlet更改RRL settigns。

• Add-DnsServerResponseRateLimitingExceptionlist。 此cmdlet在DNS服務(wù)器上創(chuàng)建RRL例外列表。

• Get-DnsServerResponseRateLimitingExceptionlist。 此cmdlet檢索RRL排除列表。

• Remove-DnsServerResponseRateLimitingExceptionlist。 此cmdlet刪除現(xiàn)有RRL例外列表。

• Set-DnsServerResponseRateLimitingExceptionlist。 此cmdlet更改RRL例外列表。

• Add-DnsServerResourceRecord。 此cmdlet已更新為支持未知記錄類型。

• Get-DnsServerResourceRecord。 此cmdlet已更新為支持未知記錄類型。

• Remove-DnsServerResourceRecord。 此cmdlet已更新為支持未知記錄類型。

• Set-DnsServerResourceRecord。 此cmdlet已更新為支持未知記錄類型

歡迎關(guān)注微信公眾號：小溫研習(xí)社