您好,登錄后才能下訂單哦!
本章節(jié)補充介紹在 Windows Server 2016 中域名系統(tǒng) (DNS) 服務(wù)器新增及已更改的功能相關(guān)信息,具體內(nèi)容如下:
功能 | 新增或改進 | 描述 |
DNS 策略 | 新增 | 您可以配置 DNS 策略,若要指定 DNS 服務(wù)器響應(yīng) DNS 查詢的方式。 客戶端 IP 地址(位置),可以基于 DNS 響應(yīng)時間天,以及一些其他參數(shù)。 DNS 策略啟用位置感知 DNS、交通管理、負載平衡、裂 DNS 和其他情況。 |
響應(yīng)速率限制 (RRL) | 新增 | 你可以啟用響應(yīng) DNS 服務(wù)器上的速率限制。 通過執(zhí)行此操作,你避免惡意通過以下 DNS 服務(wù)器啟動拒絕 DNS 客戶端上服務(wù)***的系統(tǒng)。 |
基于 DNS 命名的實體 (DANE) 的身份驗證 | 新增 | 你可以使用 TLSA (傳輸層安全性身份驗證) 記錄以信息提供給 DNS 客戶端,指出他們很有可能會從你的域名證書哪些 CA。 這可以防止某人可能會在此處損壞 DNS 緩存指向其自己的網(wǎng)站,并提供他們頒發(fā)的不同 CA 證書攔截中***。 |
未知的記錄支持 | 新增 | 你可以添加明確不支持使用未知的記錄功能的 Windows DNS 服務(wù)器的記錄。 |
IPv6 根提示 | 新增 | 你可以使用原始 IPV6 根提示支持執(zhí)行 Internet 名稱分辨率使用 IPV6 根服務(wù)器。 |
Windows PowerShell 支持 | 改進 | 新的 Windows PowerShell cmdlet 是適用于 DNS 服務(wù)器。 |
DNS策略
您可以將DNS策略用于基于地理位置的流量管理,基于一天中的時間的智能DNS響應(yīng),管理為裂腦配置配置的單個DNS服務(wù)器,應(yīng)用DNS查詢的過濾器等。 以下各項提供有關(guān)這些功能的更多詳細信息。
應(yīng)用程序負載平衡:在不同位置部署應(yīng)用程序的多個實例時,可以使用DNS策略來平衡不同應(yīng)用程序?qū)嵗g的流量負載,從而動態(tài)分配應(yīng)用程序的流量負載。
基于地理位置的資源管理: 您可以使用DNS策略允許主DNS服務(wù)器和輔助DNS服務(wù)器根據(jù)客戶端和客戶端嘗試連接的資源的地理位置響應(yīng)DNS客戶端查詢,從而為客戶端提供最近資源的IP地址。
腦裂DNS:使用腦裂DNS,DNS記錄在同一DNS服務(wù)器上拆分為不同的區(qū)域范圍,DNS客戶端根據(jù)客戶端是內(nèi)部客戶端還是外部客戶端接收響應(yīng)。您可以為Active Directory集成區(qū)域或獨立DNS服務(wù)器上的區(qū)域配置腦裂DNS。
過濾:您可以配置DNS策略以創(chuàng)建基于您提供的條件的查詢過濾器。DNS策略中的查詢過濾器允許您配置DNS服務(wù)器以基于發(fā)送DNS查詢的DNS查詢和DNS客戶端以自定義方式進行響應(yīng)。
取證: 您可以使用DNS策略將惡意DNS客戶端重定向到不存在的IP地址,而不是將它們定向到他們嘗試訪問的計算機。
基于時間的重定向: 您可以使用DNS策略通過使用基于時間的DNS策略在應(yīng)用程序的不同地理分布實例之間分發(fā)應(yīng)用程序流量。
您還可以將DNS策略用于Active Directory集成DNS區(qū)域。
響應(yīng)率限制
您可以配置RRL設(shè)置,以控制在服務(wù)器收到針對同一客戶端的多個請求時如何響應(yīng)對DNS客戶端的請求。 通過執(zhí)行此操作,您可以阻止某人使用您的DNS服務(wù)器發(fā)送拒絕服務(wù)(Dos)***。例如,僵尸網(wǎng)絡(luò)可以使用第三臺計算機的IP地址作為請求者向DNS服務(wù)器發(fā)送請求。如果沒有RRL,您的DNS服務(wù)器可能會響應(yīng)所有請求,充斥第三臺計算機。使用RRL時,可以配置以下設(shè)置:
每秒回復(fù)。 這是在一秒鐘內(nèi)向客戶端提供相同響應(yīng)的最大次數(shù)。
每秒錯誤。 這是在一秒鐘內(nèi)將錯誤響應(yīng)發(fā)送到同一客戶端的最大次數(shù)。
窗口。 這是在發(fā)出太多請求時將暫停對客戶端的響應(yīng)的秒數(shù)。
泄漏率。 這是DNS服務(wù)器在響應(yīng)暫停期間響應(yīng)查詢的頻率。例如,如果服務(wù)器暫停對客戶端的響應(yīng)10秒,并且泄漏率為5,則服務(wù)器仍將針對發(fā)送的每5個查詢響應(yīng)一個查詢。即使DNS服務(wù)器在其子網(wǎng)或FQDN上應(yīng)用響應(yīng)速率限制,這也允許合法客戶端獲得響應(yīng)。
TC率。 這用于告訴客戶端在暫停對客戶端的響應(yīng)時嘗試連接TCP。例如,如果TC速率為3,并且服務(wù)器暫停對給定客戶端的響應(yīng),則服務(wù)器將為收到的每3個查詢發(fā)出TCP連接請求。確保TC速率的值低于泄漏率,以便客戶端在泄漏響應(yīng)之前通過TCP連接。
最大響應(yīng)。 這是響應(yīng)被暫停時服務(wù)器將向客戶端發(fā)出的最大響應(yīng)數(shù)。
白名單域名。 這是要從RRL設(shè)置中排除的域列表。
白名單子網(wǎng)。 這是要從RRL設(shè)置中排除的子網(wǎng)列表。
白名單服務(wù)器接口。 這是要從RRL設(shè)置中排除的DNS服務(wù)器接口列表。
DANE支持
您可以使用DANE支持(RFC 6394和6698)向DNS客戶端指定他們應(yīng)該為DNS服務(wù)器中托管的域名發(fā)布哪些CA。 這可以防止某種形式的中間人***,即有人能夠破壞DNS緩存并將DNS名稱指向他們自己的IP地址。
未知的記錄支持
“未知記錄”是RR服務(wù)器不知道其RDATA格式的RR。 新添加的對未知記錄(RFC 3597)類型的支持意味著您可以以二進制聯(lián)機格式將不支持的記錄類型添加到Windows DNS服務(wù)器區(qū)域中。Windows緩存解析器已具備處理未知記錄類型的能力。Windows DNS服務(wù)器不會對未知記錄執(zhí)行任何記錄特定處理,但如果收到查詢,則會將其發(fā)送回響應(yīng)。
IPv6根提示
IANA發(fā)布的IPV6根提示已添加到Windows DNS服務(wù)器。 Internet名稱查詢現(xiàn)在可以使用IPv6根服務(wù)器執(zhí)行名稱解析。
Windows PowerShell支持
Windows Server 2016中引入了以下新的Windows PowerShell cmdlet和參數(shù)。
Add-DnsServerRecursionScope。 此cmdlet在DNS服務(wù)器上創(chuàng)建新的遞歸范圍。DNS策略使用遞歸作用域來指定要在DNS查詢中使用的轉(zhuǎn)發(fā)器列表。
Remove-DnsServerRecursionScope。 此cmdlet刪除現(xiàn)有的遞歸范圍。
Set-DnsServerRecursionScope。 此cmdlet更改現(xiàn)有遞歸范圍的設(shè)置。
Get-DnsServerRecursionScope。 此cmdlet檢索有關(guān)現(xiàn)有遞歸范圍的信息。
Add-DnsServerClientSubnet。 此cmdlet創(chuàng)建新的DNS客戶端子網(wǎng)。DNS策略使用子網(wǎng)來標識DNS客戶端的位置。
Remove-DnsServerClientSubnet。 此cmdlet刪除現(xiàn)有的DNS客戶端子網(wǎng)。
Set-DnsServerClientSubnet。 此cmdlet更改現(xiàn)有DNS客戶端子網(wǎng)的設(shè)置。
Get-DnsServerClientSubnet。 此cmdlet檢索有關(guān)現(xiàn)有DNS客戶端子網(wǎng)的信息。
Add-DnsServerQueryResolutionPolicy。 此cmdlet創(chuàng)建新的DNS查詢解析策略。DNS查詢解析策略用于根據(jù)不同的標準指定查詢的響應(yīng)方式或響應(yīng)方式。
Remove-DnsServerQueryResolutionPolicy。 此cmdlet刪除現(xiàn)有DNS策略。
Set-DnsServerQueryResolutionPolicy。 此cmdlet更改現(xiàn)有DNS策略的設(shè)置。
Get-DnsServerQueryResolutionPolicy。 此cmdlet檢索有關(guān)現(xiàn)有DNS策略的信息。
Enable-DnsServerPolicy。 此cmdlet啟用現(xiàn)有DNS策略。
Disable-DnsServerPolicy。 此cmdlet禁用現(xiàn)有DNS策略。
Add-DnsServerZoneTransferPolicy。 此cmdlet創(chuàng)建新的DNS服務(wù)器區(qū)域傳輸策略。DNS區(qū)域傳輸策略指定是否根據(jù)不同條件拒絕或忽略區(qū)域傳輸。
Remove-DnsServerZoneTransferPolicy。 此cmdlet刪除現(xiàn)有的DNS服務(wù)器區(qū)域傳輸策略。
Set-DnsServerZoneTransferPolicy。 此cmdlet更改現(xiàn)有DNS服務(wù)器區(qū)域傳輸策略的設(shè)置。
Get-DnsServerResponseRateLimiting。 此cmdlet檢索RRL設(shè)置。
Set-DnsServerResponseRateLimiting。 此cmdlet更改RRL settigns。
Add-DnsServerResponseRateLimitingExceptionlist。 此cmdlet在DNS服務(wù)器上創(chuàng)建RRL例外列表。
Get-DnsServerResponseRateLimitingExceptionlist。 此cmdlet檢索RRL排除列表。
Remove-DnsServerResponseRateLimitingExceptionlist。 此cmdlet刪除現(xiàn)有RRL例外列表。
Set-DnsServerResponseRateLimitingExceptionlist。 此cmdlet更改RRL例外列表。
Add-DnsServerResourceRecord。 此cmdlet已更新為支持未知記錄類型。
Get-DnsServerResourceRecord。 此cmdlet已更新為支持未知記錄類型。
Remove-DnsServerResourceRecord。 此cmdlet已更新為支持未知記錄類型。
Set-DnsServerResourceRecord。 此cmdlet已更新為支持未知記錄類型
歡迎關(guān)注微信公眾號:小溫研習(xí)社
免責聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。