DNS (Domainnamensystem) ist ein System, mit dem Sie transslaDomänennamen in IP-Adressen umwandeln und umgekehrt.
A DNS Server ist ein Netzwerkdienst, der den Betrieb bereitstellt und aufrechterhält DNSdem „Vermischten Geschmack“. Seine DNS server ist ein einfacher und leichter Dienst, der auf den meisten Computern ausgeführt werden kann. Wenn Sie nicht beabsichtigen, andere Rollen und Dienste auf dem Zielcomputer zu konfigurieren, reicht die Mindestkonfiguration aus.
So richten Sie ein DNS Server:
- Konfigurieren des Netzwerkadapters für DNS Server
- Installieren der DNS Serverrolle
- Erstellen Sie eine Forward-Lookupzone
- Erstellen einer Reverse-Lookup-Zone
- Erstellen Sie einen A-Datensatz
- Beschreibt das Domain Name System (DNS) Funktionen, die neu sind oder geändert wurden Windows Server 2016
Konfigurieren des Netzwerkadapters auf dem DNS Server
Installieren eines DNS Der Server erfordert eine Domänenzone. Sie müssen in Ihrem persönlichen Konto ein privates Netzwerk erstellen und virtuelle Maschinen damit verbinden.
Nachdem das Gerät mit beiden Netzwerken verbunden ist, ist es wichtig, sich zu merken, welche Verbindung konfiguriert werden muss. Normalerweise wird ein Netzwerkadapter standardmäßig von Anfang an mit einem Zugang zum Internet eingerichtet. Gleichzeitig haben andere zusätzliche Netzwerkadapter keinen Internetzugang, bis die Konfiguration manuell durchgeführt wird:
Wenn Sie mit der Maus über das Netzwerksymbol in der Taskleiste fahren, erhalten Sie einen Tooltip mit kurzen Informationen zu Netzwerken. Wenn Sie dem obigen Beispiel folgen, können Sie sehen, dass es sich bei dem verbundenen Netzwerk um Netzwerk 3 handelt.
Führen Sie eine Reihe von Aktionen aus:
- Richtig-cliKlicken Sie auf „Start“ und wählen Sie „Netzwerkverbindungen“ aus dem Dropdown-Menü.
- Richtig-cliMarkieren Sie den erforderlichen Netzwerkadapter und wählen Sie „Eigenschaften“ aus dem Menü.
- Auswählen IPv4 Im Eigenschaftenfenster und cliKlicken Sie auf die Schaltfläche „Eigenschaften“.
- Füllen Sie die entsprechenden Felder mit den erforderlichen Daten aus:
Hier wird die Maschine als bevorzugte Maschine zugewiesen DNS Server und der Alternate wird zugewiesen als dns.google [8.8.8.8].
Installieren der DNS Serverrolle
Um neue Rollen hinzuzufügen Windows Serververwenden Sie den Assistenten zum Hinzufügen von Rollen und Funktionen im Server-Manager.
In der oberen Navigationsleiste des Server-Managers cliÜberprüfen Sie das Menü „Verwalten“ und wählen Sie dann „Rollen und Funktionen hinzufügen“ aus:
Hier empfiehlt Ihnen der Assistent zu überprüfen, ob die folgenden Aufgaben abgeschlossen wurden:
1. Das Administratorkonto verfügt über ein sicheres Passwort.
2. Netzwerkeinstellungen, wie z. B. statische IP-Adressen, werden konfiguriert.
3. Die aktuellsten Sicherheitsupdates von Windows Update sind installiert.
Wenn Sie sicher sind, dass alle Bedingungen erfüllt sind, click Weiter;
Wählen Sie die rollenbasierte oder funktionsbasierte Installation aus und click Weiter:
Wählen Sie den gewünschten Server aus dem Serverpool aus und click Weiter:
Haken Sie ab DNS Serverrolle und click Weiter:
Überprüfen Sie die Liste der zu installierenden Funktionen und bestätigen Sie cliFunktionen hinzufügen:
Behalten Sie die Liste der Funktionen unverändert bei click Weiter:
Lesen Sie die Informationen und click Weiter:
Überprüfen Sie die Installationskonfiguration noch einmal und bestätigen Sie Ihre Entscheidung mit cliInstallation installieren:
Der letzte Bestätigungsbildschirm informiert Sie darüber, dass die Installation erfolgreich abgeschlossen wurde, und Sie können den Installationsassistenten schließen:
Erstellen von Forward- und Reverse-Lookup-Zonen
Eine Domänenzone – eine Reihe von Domänennamen innerhalb einer bestimmten Domäne.
Forward-Lookupzonen Namen in IP-Adressen auflösen.
Reverse-Lookup-Zonen IP-Adressen in Namen auflösen.
Sie müssen die verwenden DNS Manager zum Erstellen und Verwalten der Zonen.
In der oberen Navigationsleiste des Server-Managers cliÜberprüfen Sie das Menü „Extras“ und wählen Sie „Aus“. DNS in der Dropdown-Liste:
Erstellen einer Forward-Lookup-Zone
- Richtig-cliKlicken Sie auf den Ordner „Forward Lookup Zones“ und wählen Sie „Neue Zone“. Dadurch wird der Assistent für neue Zonen geöffnet:
- Auf dem Begrüßungsbildschirm des Assistenten click Weiter:
- Wählen Sie auf dem Bildschirm „Zonentyp“ die Option „Primäre Zone“ aus und click Weiter:
- Geben Sie den Namen ein und click Weiter:
- Ändern Sie ggf. den Namen der zukünftigen Zonendatei und click Weiter:
- Sie müssen entscheiden, ob Sie dynamische Updates zulassen möchten oder nicht. Es wird nicht empfohlen, dies zuzulassen, da eine erhebliche Sicherheitslücke besteht. Click Weiter:
- Überprüfen Sie, ob die ausgewählten Einstellungen korrekt sind. click Finish:
Erstellen einer Reverse-Lookup-Zone
- Öffnen Sie den Microsoft Store auf Ihrem Windows-PC. DNS Manager und Rechts-cliKlicken Sie auf den Ordner „Reverse Lookup Zones“ und wählen Sie „Neue Zone“. Dadurch wird der Assistent für neue Zonen geöffnet:
- Wählen Sie auf dem Bildschirm „Zonentyp“ die Option „Primäre Zone“ aus und click Weiter:
- Wählen Sie auf der ersten Seite Reverse Lookup Zone Name die Option aus IPv4, click Weiter:
- Geben Sie die Netzwerk-ID (die ersten drei Oktette der IP-Adresse) ein und click Weiter:
- Ändern Sie ggf. den Namen der zukünftigen Zonendatei und click Weiter:
- Sie müssen entscheiden, ob Sie dynamische Updates zulassen möchten oder nicht. Es wird nicht empfohlen, dies zuzulassen, da eine erhebliche Sicherheitslücke besteht. Click Weiter:
- Überprüfen Sie, ob die ausgewählten Einstellungen korrekt sind. click Finish:
Erstellen eines Host-Datensatzes (A).
In diesem Abschnitt der Richtlinie geht es hauptsächlich darum, alle Schritte zu überprüfen, die Sie zuvor ausgeführt haben.
Ein Ressourcendatensatz ist die Einheit der Informationsspeicherung und -übertragung in DNS. RRs sind die Grundbausteine von Hostnamen- und IP-Informationen und werden zur Auflösung aller verwendet DNS Abfragen.
Aufnahme A – ein Datensatz, mit dem Sie Hostnamen einer IP-Adresse des Hosts zuordnen können.
PTR aufzeichnen – ist die umgekehrte Version eines A-Records.
- Öffnen Sie den Ordner „Forward Lookup Zones“ im DNS Manager und suchen Sie den Zonenordner. Rechts-click auf der rechten Seite DNS Manager und wählen Sie Neuer Host (a oder AAA):
- Die Seite „Neuer Host“ wird geöffnet. Geben Sie unter Name einen Namen des Hosts (ohne Domäne wird der Name der Zone als Domäne verwendet) und Ihre IP-Adresse ein. Aktivieren Sie den Abschnitt „Zugeordneten Zeigerdatensatz (PTR) erstellen“, um zu überprüfen, ob sowohl die Forward- als auch die Reverse-Lookupzone ordnungsgemäß funktionieren:
Wenn das Feld „Name“ leer ist, wird der Name der übergeordneten Domäne verwendet.
- Sie können auch Datensätze für andere Server hinzufügen:
- Sobald Sie fertig sind, click Fertig.
Stellen Sie sicher, dass alles korrekt ist
- Überprüfen Sie die Änderungen in den Ordnern der Zonen (im Beispiel unten sehen Sie, dass in jedem von ihnen zwei Datensätze angezeigt wurden):
- Öffnen Sie die Befehlszeile (cmd) oder PowerShell und führen Sie den Befehl nslookup aus:
Es zeigt, dass die Standardeinstellung ist DNS Server ist example-2012.com mit der Adresse 10.0.1.6.
Um sicherzustellen, dass die Vorwärts- und Rückwärtszonen ordnungsgemäß funktionieren, können Sie zwei Abfragen senden:
- Um die Domäne abzufragen;
- Um die IP-Adresse abzufragen:
Im Beispiel haben wir für beide Abfragen passende Antworten erhalten.
- Es besteht die Möglichkeit, eine Anfrage an eine externe Ressource zu senden:
Wir sehen hier eine neue Zeile „Nicht maßgebliche Antwort“. Das bedeutet, dass unsere DNS Der Server enthält nicht die ursprünglichen Zonendateien der Domäne. Obwohl die unten angezeigten Informationen von einem autoritativen Server stammen, sind sie in diesem Fall selbst nicht maßgebend.
Zum Vergleich wurden dieselben Abfragen auf dem Server durchgeführt, auf dem die Vorwärts- und Rückwärtszonen nicht konfiguriert waren:
Dabei hat sich die Maschine selbst als Standard zugewiesen DNS Server. Die DNS Der Serverdomänenname wird als unbekannt angezeigt, da keine Ressourceneinträge für die IP-Adresse (10.0.1.7) vorhanden sind. Aus dem gleichen Grund gibt die 2. Abfrage einen Fehler zurück (Nicht vorhandene Domäne).
Beschreibung des Domain Name Systems (DNS) Funktionen, die neu sind oder geändert wurden Windows Server 2016
In Windows Server 2016, DNS Server bietet Updates in den folgenden Bereichen:
- DNS Serverrichtlinien
- Antwortratenlimit (RRL)
- DNS Basierend auf benannter Entitätsauthentifizierung (DANE)
- Unbekannte Datensatzunterstützung
- IPv6-Root-Hinweise
- Windows PowerShell-Unterstützung
DNS Serverrichtlinien
Jetzt können Sie diese Funktionen nutzen:
- DNS Richtlinie für geostandortbasiertes Verkehrsmanagement
- Intelklug DNS Antworten basierend auf der Tageszeit, um eine einzelne zu verwalten DNS Server, der für die Split-Brain-Bereitstellung konfiguriert ist
- Filter anwenden auf DNS Anfragen und mehr.
Spezifische Beschreibung dieser Funktionen:
Anwendungslastausgleich
Wenn Sie mehrere Instanzen einer Anwendung an verschiedenen Standorten bereitgestellt haben, können Sie diese verwenden DNS Richtlinie, um die Verkehrslast zwischen den verschiedenen Anwendungsinstanzen auszugleichen und die Verkehrslast dynamisch für die Anwendung zuzuweisen.
Geostandortbasiertes Verkehrsmanagement.
Sie können verwenden DNS Richtlinie zum Zulassen von Primär- und Sekundärdaten DNS Server, auf die geantwortet werden soll DNS client-Abfragen basierend auf dem geografischen Standort beider client und die Ressource, zu der die client versucht, eine Verbindung herzustellen client mit der IP-Adresse der nächstgelegenen Ressource.
Geteiltes Gehirn DNS
Mit Split-Brain DNS, DNS Datensätze werden in verschiedene Zonenbereiche aufgeteilt DNS Server und DNS cliEnts erhalten eine Antwort basierend darauf, ob die cliEntitäten sind intern oder extern clients. Sie können Split-Brain konfigurieren DNS für Active Directory-integrierte Zonen oder für eigenständige Zonen DNS Servers
Filterung
Sie können konfigurieren DNS Richtlinie zum Erstellen von Abfragefiltern, die auf den von Ihnen angegebenen Kriterien basieren. Abfragefilter in DNS Mit der Richtlinie können Sie die konfigurieren DNS Server, um auf der Grundlage der benutzerdefinierten Weise zu reagieren DNS Abfrage und DNS cliEnt, der die sendet DNS Abfrage.
Forensik
Sie können verwenden DNS Richtlinie zur Umleitung bösartiger Dateien DNS cliBenutzer werden an eine nicht vorhandene IP-Adresse weitergeleitet, anstatt sie an den Computer weiterzuleiten, den sie erreichen möchten.
Tageszeitbasierte Umleitung
Sie können verwenden DNS Richtlinie zum Verteilen des Anwendungsdatenverkehrs auf verschiedene geografisch verteilte Instanzen einer Anwendung mithilfe von DNS Richtlinien, die auf der Tageszeit basieren.
Sie können auch DNS Richtlinien für Active Directory integriert DNS Zonen.
Begrenzung der Antwortrate (RRL)
ТSie können RRL-Einstellungen konfigurieren, um zu steuern, wie auf Anfragen an a reagiert wird DNS client, wenn Ihr Server mehrere Anfragen erhält, die auf dasselbe abzielen cliEintr.
Auf diese Weise können Sie verhindern, dass jemand über Ihr Konto einen Denial-of-Service-Angriff (DoS) sendet DNS Servers
Beispielsweise kann ein Botnetz Anfragen an Sie senden DNS Server unter Verwendung der IP-Adresse eines dritten Computers als Anfrager. Ohne RRL, Ihr DNS Server reagieren möglicherweise auf alle Anfragen und überfluten den dritten Computer.
Wenn Sie RRL verwenden, können Sie die folgenden Einstellungen konfigurieren:
Antworten pro Sekunde Dies ist die maximale Häufigkeit, mit der die gleiche Antwort an a gegeben wird client innerhalb einer Sekunde.
Fehler pro Sekunde Dies ist die maximale Häufigkeit, mit der eine Fehlerantwort an denselben gesendet wird client innerhalb einer Sekunde.
Window Dies ist die Anzahl der Sekunden, für die Antworten auf a client werden ausgesetzt, wenn zu viele Anfragen gestellt werden.
Leckrate So häufig kommt es vor DNS Der Server antwortet während der Zeit, in der die Antworten ausgesetzt sind, auf eine Anfrage. Wenn der Server beispielsweise Antworten auf a cli10 Sekunden lang entfällt und die Leckrate 5 beträgt, antwortet der Server immer noch auf eine Anfrage pro 5 gesendete Anfragen. Dies ermöglicht die legitnachahmen cliEnts erhalten Antworten, auch wenn die DNS Der Server wendet eine Begrenzung der Antwortrate auf sein Subnetz oder seinen FQDN an.
TC-Rate Dies wird verwendet, um das zu sagen client, um zu versuchen, eine Verbindung mit TCP herzustellen, wenn Antworten auf das client sind suspendiert. Wenn die TC-Rate beispielsweise 3 beträgt und der Server Antworten auf eine bestimmte Zeit aussetzt cliDaher gibt der Server für alle drei empfangenen Anfragen eine Anfrage für eine TCP-Verbindung aus. Stellen Sie sicher, dass der Wert für die TC-Rate niedriger ist als die Leckrate, um das zu erhalten cliGeben Sie die Option ein, eine Verbindung über TCP herzustellen, bevor Antworten verloren gehen.
Maximale Antworten Dies ist die maximale Anzahl an Antworten, die der Server auf a ausgibt client, während die Antworten ausgesetzt sind.
Domains auf die Zulassungsliste setzen Dies ist eine Liste von Domänen, die von den RRL-Einstellungen ausgeschlossen werden sollen.
Subnetze auf die Zulassungsliste setzen Dies ist eine Liste von Subnetzen, die von den RRL-Einstellungen ausgeschlossen werden sollen.
Serverschnittstellen auf die Zulassungsliste setzen Dies ist eine Liste von DNS Serverschnittstellen, die von den RRL-Einstellungen ausgeschlossen werden sollen.
DNS Basierend auf benannter Entitätsauthentifizierung (DANE)
Sie können die DANE-Unterstützung (RFC 6394 und 6698) verwenden, um Ihre Anforderungen zu spezifizieren DNS cliEntscheider geben an, von welcher Zertifizierungsstelle sie erwarten sollen, dass Zertifikate für in Ihrem Unternehmen gehostete Domänennamen ausgestellt werden DNS Server. Dadurch wird eine Form des Man-in-the-Middle-Angriffs verhindert, bei dem jemand in der Lage ist, eine Datei zu beschädigen DNS Cache und Punkt a DNS Namen mit der eigenen IP-Adresse verknüpfen.
Unbekannte Datensatzunterstützung
Ein „Unknown Record“ ist ein RR, dessen RDATA-Format dem nicht bekannt ist DNS Server. Die neu hinzugefügte Unterstützung für unbekannte Datensatztypen (RFC 3597) bedeutet, dass Sie die nicht unterstützten Datensatztypen in hinzufügen können Windows DNS Serverzonen im binären On-Wire-Format. Der Windows Der Caching-Resolver verfügt bereits über die Möglichkeit, unbekannte Datensatztypen zu verarbeiten. Windows DNS Der Server führt keine datensatzspezifische Verarbeitung für die unbekannten Datensätze durch, sondern sendet sie als Antworten zurück, wenn Anfragen dafür eingehen.
IPv6-Root-Hinweise
Die von der IANA veröffentlichten IPV6-Root-Hinweise wurden dem hinzugefügt Windows DNS Server. Die Internet-Namensabfragen können jetzt IPv6-Root-Server zur Durchführung von Namensauflösungen verwenden.
Windows PowerShell-Unterstützung
Das Folgende neu Windows PowerShell-Cmdlets und parameter werden eingeführt in Windows Server 2016:
Hinzufügen-DnsServerRecursionScope – Dieses Cmdlet erstellt einen neuen Rekursionsbereich auf DNS Server. Rekursionsbereiche werden verwendet von DNS Richtlinien zum Angeben einer Liste von Weiterleitungen, die in a verwendet werden sollen DNS Abfrage.
Entfernen-DnsServerRecursionScope – Dieses Cmdlet entfernt vorhandene Rekursionsbereiche.
Einstellen-DnsServerRecursionScope – Dieses Cmdlet ändert die Einstellungen eines vorhandenen Rekursionsbereichs.
Erhalten-DnsServerRecursionScope – Dieses Cmdlet ruft Informationen zu vorhandenen Rekursionsbereichen ab.
Hinzufügen-DnsServerClientSubnet – Dieses Cmdlet erstellt ein neues DNS client-Subnetz. Subnetze werden verwendet von DNS Richtlinien zur Identifizierung, wo a DNS client liegt.
Entfernen-DnsServerClientSubnet – Dieses Cmdlet entfernt vorhandene DNS client-Subnetze.
Einstellen-DnsServerClientSubnet – Dieses Cmdlet ändert die Einstellungen eines vorhandenen DNS client-Subnetz.
Erhalten-DnsServerClientSubnet – Dieses Cmdlet ruft Informationen über vorhandene ab DNS client-Subnetze.
Hinzufügen-DnsServerQueryResolutionPolicy – Dieses Cmdlet erstellt ein neues DNS Richtlinie zur Abfrageauflösung. DNS Richtlinien zur Abfrageauflösung werden verwendet, um anhand verschiedener Kriterien festzulegen, wie oder ob auf eine Abfrage geantwortet wird.
Entfernen-DnsServerQueryResolutionPolicy – Dieses Cmdlet entfernt vorhandene DNS Politik.
Einstellen-DnsServerQueryResolutionPolicy – Dieses Cmdlet ändert die Einstellungen eines vorhandenen DNS Politik.
Erhalten-DnsServerQueryResolutionPolicy – Dieses Cmdlet ruft Informationen über vorhandene ab DNS Politik.
Aktivieren-DnsServerrichtlinie – Dieses Cmdlet aktiviert vorhandene DNS Politik.
Deaktivieren-DnsServerrichtlinie – Dieses Cmdlet deaktiviert vorhandene DNS Politik.
Hinzufügen-DnsServerZoneTransferPolicy – Dieses Cmdlet erstellt ein neues DNS Serverzonenübertragungsrichtlinie. DNS Zonenübertragungsrichtlinien geben anhand verschiedener Kriterien an, ob eine Zonenübertragung abgelehnt oder ignoriert werden soll.
Entfernen-DnsServerZoneTransferPolicy – Dieses Cmdlet entfernt vorhandene DNS Übertragungsrichtlinien für Serverzonen.
Einstellen-DnsServerZoneTransferPolicy – Dieses Cmdlet ändert die Einstellungen eines vorhandenen DNS Serverzonenübertragungsrichtlinie.
Erhalten-DnsServerResponseRateLimiting – Dieses Cmdlet ruft RRL-Einstellungen ab.
Einstellen-DnsServerResponseRateLimiting – Dieses Cmdlet ändert die RRL-Einstellungen.
Hinzufügen-DnsServerResponseRateLimitingExceptionlist – Dieses Cmdlet erstellt eine RRL-Ausnahmeliste für DNS Server.
Erhalten-DnsServerResponseRateLimitingExceptionlist– Dieses Cmdlet ruft RRL-Ausnahmelisten ab.
Entfernen-DnsServerResponseRateLimitingExceptionlist – Dieses Cmdlet entfernt eine vorhandene RRL-Ausnahmeliste.
Einstellen-DnsServerResponseRateLimitingExceptionlist – Dieses Cmdlet ändert RRL-Ausnahmelisten.
Hinzufügen-DnsServerResourceRecord – Dieses Cmdlet wurde aktualisiert, um unbekannte Datensatztypen zu unterstützen.
Erhalten-DnsServerResourceRecord – Dieses Cmdlet wurde aktualisiert, um unbekannte Datensatztypen zu unterstützen.
Entfernen-DnsServerResourceRecord – Dieses Cmdlet wurde aktualisiert, um unbekannte Datensatztypen zu unterstützen.
Einstellen-DnsServerResourceRecord– Dieses Cmdlet wurde aktualisiert, um unbekannte Datensatztypen zu unterstützen
Weitere Informationen finden Sie im Folgenden Windows Server 2016 Windows Referenzthemen zu PowerShell-Befehlen.
