L'inoltro DNS aiuta a velocizzare la rete e dovrebbe essere implementato se gli utenti richiedono il nome di dominio ma il server DNS non riesce a trovare l'indirizzo IP corrispondente nella cache. Questo processo è generalmente utilizzato dalle aziende che dispongono di ampi spazi dei nomi.
Continuate a leggere il blog per sapere cos'è l'inoltro DNS e come si usa per gli indirizzi esterni e interni.
Che cos'è l'inoltro DNS?
L'inoltro DNS è un processo in cui un altro server designato (root hint server) gestisce gli indirizzi non risolvibili o le query DNS perché il server inizialmente contattato non ha la risposta. In genere, a tutti i server destinati a convertire i nomi di dominio in indirizzi IP viene assegnato un forwarder specifico per inoltrare tutte le richieste che non riescono a risolvere.
Questa tecnica è utilizzata dalle aziende che hanno spazi dei nomi molto ampi o dalle aziende che collaborano tra loro in quanto possono risolvere gli spazi dei nomi degli altri.
Come funziona l'inoltro DNS?
Vediamo ora la procedura di funzionamento dell'inoltro DNS.
Quando le informazioni DNS interne sono private, possono essere trasmesse online se il root hint server è esposto al pubblico, perché nella rete interna non viene utilizzato alcun DNS forwarder. Si può utilizzare anche se i costi dell'ISP della rete sono elevati o la connessione non è veloce a causa dell'assenza di un DNS forwarder interno. Questo perché un DNS forwarder interno aumenta il traffico esterno, rendendolo complicato da gestire.
L'utilizzo di un DNS forwarder consente di creare una cache interna per i dati DNS esterni e di ridurre il traffico DNS esterno.
Come configurare gli inoltri DNS su Microsoft Windows Server 2008 R2 e 2016?
Prima di iniziare la procedura di configurazione dell'inoltro DNS, prendere nota dell'indirizzo IP dei server DNS ricorsivi SIA e assicurarsi che sia configurato un file root. È possibile utilizzare la ricerca dell'indirizzo IP per trovare l'indirizzo IP del proprio dominio. Il file root hint elenca i server DNS root che il dominio Active Directory contatta per le query di ricorsione. Questa operazione può essere eseguita con l'interfaccia grafica di Windows Server o con la riga di comando.
Interfaccia grafica utente
Seguite questi passaggi per configurare gli inoltri DNS su Windows utilizzando l'interfaccia grafica.
- Fare clic su Start > Strumenti di amministrazione > DNS.
- Fate clic con il tasto destro del mouse sul server DNS che volete configurare come forwarder.
- Accedere al menu Azione e selezionare Proprietà.
- Selezionare la scheda Inoltratori.
- Fare clic su Modifica.
- Nella finestra di dialogo Modifica inoltri, inserire l'indirizzo IP primario del server DNS ricorsivo SIA e premere Invio.
- Aggiungere l'indirizzo IP secondario del server DNS ricorsivo SIA e premere Invio.
- Eliminare gli altri server elencati come forwarder. Mantenere solo i server DNS ricorsivi primari e secondari nell'elenco dei forwarder.
- Aggiungete un valore nella sezione Numero di secondi prima che le query di inoltro scadano per assegnare il numero di secondi in cui il server DNS attende una risposta.
- Fare clic su OK.
- Abilitare l'opzione Usa suggerimenti radice se non sono disponibili forwarder. Questa opzione garantisce che i server DNS in un file di suggerimenti radice risolvano il nome localmente.
- Nella finestra di dialogo delle proprietà, fare clic su OK.
Interfaccia a riga di comando
Seguite questi passaggi per configurare l'inoltro DNS su Windows usando l'interfaccia della riga di comando.
- Aprire un prompt dei comandi ed eseguirlo come amministratore.
- Type dnscmd <ServerName> /ResetForwarders <PrimaryIPaddress …> [/TimeOut <Time>] /noslave and press Enter.
Dove:
- <ServerName> is the DNS server’s domain name or IP address.
- <PrimaryIPaddress> are IP addresses of the DNS servers where you forward queries. Separate each IP address with a space.
- <Time> is the time in seconds for time-out settings.
Inoltro condizionato
L'inoltro condizionato DNS viene effettuato utilizzando server DNS che inoltrano le query per determinati nomi di dominio invece di inoltrare tutte le query. Essi inviano le query a specifici forwarder a seconda dei nomi host menzionati nella query.
L'inoltro condizionato DNS migliora l'inoltro convenzionale ponendo una condizione basata sul nome nel processo di inoltro.
L'inoltro condizionato del DNS è vantaggioso perché stabilisce una connessione Internet più sicura, più veloce e più affidabile. In questo caso, il server DNS invia query ricorsive al forwarder.
Inoltro DNS per indirizzi esterni
L'inoltro DNS è importante perché se non c'è un server DNS designato come forwarder a cui indirizzare tutte le query esterne, tutti i server DNS interni devono gestire le richieste. Questo non è auspicabile perché:
- I dati DNS interni possono trapelare senza distinguere i DNS esterni da quelli interni. Si tratta di una potenziale vulnerabilità preoccupante per la sicurezza e la privacy.
- Il carico di traffico aumenta se non si è implementato l'inoltro DNS. Quando si designa un server DNS come forwarder, questo gestisce tutte le risoluzioni DNS esterne e crea una cache di indirizzi esterni per ridurre al minimo il numero di query ricorsive, riducendo così il traffico.
Se la vostra azienda è piccola e ha una larghezza di banda limitata, l'inoltro del DNS può rendere la rete più efficiente e veloce.
Inoltro DNS per indirizzi interni
Gli esperti consigliano di gestire un sottoinsieme di indirizzi interni attraverso l'inoltro DNS. Inoltre, per le intranet più estese, che comprendono diversi domini e sottodomini, è pratico avere richieste DNS per un sottoinsieme di tali domini controllate da un server dedicato. Queste richieste vengono generalmente inoltrate con il principio dell'inoltro condizionale del DNS.
Migliori pratiche per l'inoltro DNS
Il DNS è fondamentale per il mondo odierno guidato da Internet. Se avete un solo server DNS, questo deve essere configurato come forwarder. Se ne avete più di uno, potete configurarne uno, alcuni o tutti come forwarder. Oltre a questo, potete seguire le pratiche elencate di seguito per garantire che gli inoltri DNS funzionino in modo ottimale.
Disabilitare la ricorsione
La ricorsione consente ai server DNS di interrogare altri server per conto del client. Questo aiuta nel processo di inoltro del DNS, ma espone la rete a rischi di sicurezza. Pertanto, se la si disabilita, la possibilità di subire attacchi diminuisce. Ridurrà inoltre il carico di traffico e la rete diventerà più veloce.
Abilitare la convalida DNSSEC
DNSSEC o Domain name System security Extensions sono protocolli di sicurezza che proteggono da spoofing DNS e attacchi di avvelenamento della cache. Se è abilitato, gli spedizionieri DNS controllano le firme digitali. Se la firma non corrisponde, la risposta viene scartata e al client viene inviato un messaggio di errore.
Tuttavia, è necessario utilizzarlo solo attraverso una connessione sicura. In caso contrario, gli hacker possono intercettare e modificare i dati scambiati.
Monitoraggio dei server DNS
Il monitoraggio regolare dei server DNS vi avvisa di potenziali problemi tecnici, consentendovi di intervenire rapidamente. In questo modo si riducono i tempi di inattività che possono avere un forte impatto sulla vostra attività.
Dovreste anche controllare i registri dei DNS forwarder per notare attività sospette o comportamenti irresponsabili da parte degli utenti, per evitare potenziali rischi per la sicurezza.
Creare e testare la configurazione alternativa
Una configurazione alternativa consente di passare a un altro forwarder in caso di guasto. In questo modo si riducono i tempi di inattività e si mantengono accessibili le risorse. Non tralasciate di testare la configurazione alternativa prima di stabilire una nuova configurazione.
Eseguite regolarmente il backup dei dati del server DNS
I malintenzionati attaccano il server e cercano di modificare o eliminare i dati. Il backup dei dati del server DNS consente di ripristinarli rapidamente senza interrompere il flusso di traffico sulla rete. Senza backup, ci vorranno ore o addirittura giorni per ripristinare tutto, con un forte impatto sulla vostra attività.
