DNS forwarding helpt bij het versnellen van je netwerk en zou je moeten implementeren als je gebruikers je domeinnaam aanvragen maar hun DNS server het corresponderende IP-adres niet kan vinden in de cache. Bedrijven met uitgebreide namespaces gebruiken dit proces vaak.
Blijf de blog lezen om te weten wat DNS doorsturen is en hoe het wordt gebruikt voor externe en interne adressen.
Belangrijkste opmerkingen
- DNS doorsturen stuurt onopgeloste query's naar een andere server om ze op te lossen, ideaal voor grote netwerken of netwerken waarin wordt samengewerkt.
- Voorwaardelijk doorsturen richt zich op specifieke domeinen, terwijl recursief doorsturen vragen voor oplossing doorgeeft aan een andere server.
- Het verhoogt de efficiëntie van query's, centraliseert het beheer, verbetert de beveiliging, verdeelt de belasting en ondersteunt setups met meerdere domeinen.
- Het vermindert extern verkeer en verbetert de efficiëntie door specifieke zoekopdrachten door te sturen naar speciale servers.
- Schakel recursie uit, schakel DNSSEC in, monitor servers, maak alternatieve configuraties en maak regelmatig back-ups van DNS-gegevens.
Wat is DNS doorsturen?
DNS doorsturen is een proces waarbij een andere aangewezen server (root hint server) niet-oplosbare adressen of DNS-verzoeken afhandelt omdat de aanvankelijk gecontacteerde server het antwoord niet heeft. Over het algemeen krijgen alle servers die bedoeld zijn om domeinnamen om te zetten in IP-adressen een specifieke doorstuurder toegewezen voor het doorsturen van alle verzoeken die ze niet kunnen oplossen.
Deze techniek wordt gebruikt door bedrijven met zeer grote namespaces of bedrijven die samenwerken omdat ze elkaars namespaces kunnen oplossen.
Vereenvoudig DMARC met PowerDMARC!
Wat is een DNS-forwarder?
Een DNS-forwarder is een DNS-server die is geconfigureerd om query's die niet lokaal kunnen worden opgelost, door te sturen naar een andere DNS-server, meestal een externe. Deze doorsturende DNS-server fungeert meestal als een tussenliggende server die verantwoordelijk is voor het eenvoudig doorsturen van DNS-verzoeken naar een meer gezaghebbende DNS-server voor effectieve query-oplossing.
Hoe werkt DNS doorsturen?
Laten we nu eens kijken hoe DNS forwarding werkt.
Wanneer interne DNS-informatie privé is, kan deze online worden verzonden als de root hint server is blootgesteld aan het publiek omdat er geen DNS-forwarder wordt gebruikt in het interne netwerk. Je kunt het ook gebruiken als de ISP kosten van je netwerk hoog zijn of als de verbinding niet snel is door de afwezigheid van een interne DNS-forwarder. Dit komt omdat een interne DNS-forwarder het externe verkeer doet toenemen, waardoor het ingewikkelder wordt om af te handelen.
Het gebruik van een DNS-forwarder helpt bij het opbouwen van een interne cache voor externe DNS-gegevens om het externe DNS-verkeer te verminderen.
DNS-doorstuursoorten
Laten we de 2 primaire DNS doorstuurtypes bespreken en hoe elk van hen werkt:
1. Voorwaardelijk doorsturen
DNS voorwaardelijk doorsturen wordt gedaan met behulp van DNS-servers die query's doorsturen voor bepaalde domeinnamen in plaats van alle query's door te sturen. Ze sturen query's door naar specifieke doorstuurders, afhankelijk van de hostnamen die in de query worden vermeld. Voorwaardelijk doorsturen DNS verbetert conventioneel doorsturen door een op naam gebaseerde voorwaarde aan het proces toe te voegen. DNS voorwaardelijk doorsturen is voordelig omdat het een veiligere, snellere en betrouwbaardere internetverbinding tot stand brengt. Hierbij stuurt de DNS-server recursieve query's naar de doorstuurder.
2. Recursief doorsturen
In dit DNS doorstuurt een DNS-server een query door naar een andere DNS-server. De tweede server voert een recursieve lookup uit om de query op te lossen. Een gebruikscasus is wanneer een DNS-server query's doorstuurt naar een centrale DNS-server om ze op te lossen.
Doorsturen vs. Cachen
Bij DNS-forwarding stuurt een DNS-server clientquery's die hij niet direct kan oplossen naar een andere DNS-server (een forwarder). Dit wordt gebruikt om taken voor het oplossen van query's uit te schakelen of om een specifiek beleid voor het doorsturen van query's te implementeren.
DNS caching houdt in dat de resultaten van eerdere query's tijdelijk worden opgeslagen om de latentie te verlagen en de prestaties te verbeteren. Wanneer een DNS-server een record in de cache heeft, wordt de query onmiddellijk uitgevoerd in plaats van doorgestuurd.
Voordelen van DNS doorsturen
Laten we eens kijken naar de verschillende voordelen van DNS forwarding:
1. Verbeterde Query Efficiëntie
Het doorsturen van query's naar een specifieke DNS-server verkort de querytijd aanzienlijk en zorgt voor veel snellere reacties, waardoor ook de latentie afneemt.
2. Gecentraliseerd beheer
DNS doorsturen vereenvoudigt DNS-beheer. Dit is vooral voordelig in grote organisaties, omdat beheerders DNS-queryresolutie kunnen centraliseren en controleren door een paar aangewezen DNS-servers toe te wijzen.
3. Beveiliging
Het doorsturen van DNS-query's naar een veilige en vertrouwde DNS-server helpt bij het voorkomen van cyberaanvallen zoals DNS-spoofingaanvallen.
4. Belasting in evenwicht brengen
Door de taken voor het oplossen van query's te verdelen over aangewezen DNS-servers, kan DNS doorsturen helpen om de belasting van een netwerk te verdelen. Dit voorkomt uiteindelijk dat een enkele DNS-server overbelast raakt.
5. Ondersteuning voor meerdere domeinen
Voor organisaties met meerdere interne of externe domeinen maakt voorwaardelijk doorsturen naadloze domeinspecifieke queryresolutie mogelijk.
Hoe DNS-forwarders configureren op Microsoft Windows Server 2008 R2 en 2016
Noteer het IP-adres van de recursieve DNS-servers van de SIA en zorg ervoor dat er een rootbestand is geconfigureerd voordat je de procedure start om DNS doorsturen te configureren. Een IP-adres opzoeken kan u helpen om gemakkelijk het IP-adres van uw eigen domein te vinden. Het root hint bestand geeft een lijst van root DNS servers die active directory domein contacten hebben voor recursie queries. Dit kan worden gedaan met de grafische gebruikersinterface van Windows Server of via de opdrachtregel.
Grafische gebruikersinterface
Je kunt de onderstaande stappen volgen om DNS-forwarders op Windows in te stellen met behulp van de grafische gebruikersinterface.
- Klik op Start en ga naar Extra beheer > DNS.
- Klik met de rechtermuisknop op de DNS-server die je als doorstuurder wilt configureren.
- Navigeer naar het menu Actie en klik op het tabblad "Eigenschappen".
- Selecteer het tabblad Forwarders.
- Klik op Bewerken.
- Voer in het dialoogvenster Expediteurs bewerken het primaire IP-adres van de recursieve DNS-server van de SIA in en druk op Enter.
- Voeg het secundaire IP-adres van de recursieve DNS-server van de SIA toe en druk op Enter.
- Controleer je DNS-forwarders lijst en verwijder andere servers die als forwarders vermeld staan. Laat alleen de primaire en secundaire recursieve servers op de DNS-forwarders lijst staan.
- Voeg een waarde toe in de sectie Aantal seconden voordat de doorstuurquery's stoppen om het aantal seconden toe te wijzen dat een DNS-server wacht op een antwoord.
- Klik op OK.
- Schakel de optie "Use Root Hint if no forwarders are available" in. Deze optie zorgt ervoor dat DNS-servers in een bestand met roothints de naam lokaal oplossen.
- Klik op OK in het dialoogvenster Eigenschappen.
Opdrachtregelinterface
Volg deze stappen om DNS-forwarding op Windows te configureren met de opdrachtregelinterface.
- Open de volgende opdrachtprompt. Merk op dat dit moet worden uitgevoerd als beheerder.
Type dnscmd <ServerName> /ResetForwarders <PrimaryIPaddress …> [/TimeOut <Time>] /noslave and press Enter.
Waar:
- <ServerName> is the DNS server’s domain name or IP address.
- <PrimaryIPaddress> are IP addresses of the DNS servers where you forward queries.
- Je moet elk IP-adres scheiden met een spatie.
- <Time> refers to the time-out settings time. It is calculated in seconds.
DNS-doorstuurroutes voor externe adressen
DNS-forwarding is belangrijk omdat als er geen aangewezen DNS-server is als doorstuurder waar alle externe queries naartoe worden geleid, alle interne DNS servers de verzoeken afhandelen. Dit is ongewenst omdat:
- Als de DNS doorstuurroutes niet duidelijk gescheiden zijn als extern en intern, dan is het heel goed mogelijk dat de interne DNS gegevens uitlekken.
- De verkeersbelasting neemt toe als je DNS-forwarding niet hebt geïmplementeerd. Wanneer je een DNS server aanwijst als doorstuurder, handelt deze alle externe DNS resoluties af en maakt een cache aan van externe adressen om het aantal recursieve queries te minimaliseren, waardoor het verkeer afneemt.
Als je bedrijf klein is en beperkte bandbreedte heeft, kan het toepassen van DNS-forwarding het netwerk efficiënter en sneller maken.
DNS doorsturen voor interne adressen
Experts raden aan om een subset van interne adressen af te handelen via DNS-forwarding. Voor uitgebreide intranetten, met meerdere domeinen en subdomeinen, is het praktisch om DNS-verzoeken voor een subset van die domeinen te laten beheren door een speciale server. Deze verzoeken worden over het algemeen doorgestuurd met het DNS-principe van conditioneel doorsturen.
Beste praktijken voor DNS doorsturen
DNS is cruciaal in de huidige internetgedreven wereld. Als je maar één DNS server hebt, dan moet die geconfigureerd worden als een forwarder. Als je er meer dan één hebt, dan kun je er één, een paar of allemaal als forwarder configureren. Daarnaast kunt u de onderstaande praktijken volgen om ervoor te zorgen dat DNS-forwarders optimaal presteren.
Recursie uitschakelen
Recursie stelt DNS-servers in staat om namens de client andere servers te bevragen. Dit helpt bij het DNS doorsturen, maar stelt je netwerk ook bloot aan beveiligingsrisico's. Als je dit uitschakelt, neemt de kans op aanvallen dus af. Dus als je het uitschakelt, neemt de kans op aanvallen af. Het zal ook de verkeersbelasting verminderen en je netwerk zal sneller worden.
DNSSEC-validatie inschakelen
DNSSEC of Domain Name System Security Extensions zijn beveiligingsprotocollen die beschermen tegen DNS-spoofing en cache-poisoning aanvallen. Als dit is ingeschakeld, controleren DNS-forwarders de digitale handtekeningen. Het antwoord wordt genegeerd als de handtekening niet overeenkomt en er wordt een foutbericht naar de client gestuurd.
Je moet het echter alleen gebruiken via een beveiligde verbinding. Anders kunnen hackers de uitgewisselde gegevens onderscheppen en wijzigen.
Controleer of DNSSEC is ingeschakeld met onze DNSSEC-controle.
DNS-servers bewaken
Regelmatige bewaking van DNS-servers waarschuwt u voor mogelijke technische problemen, zodat u snel actie kunt ondernemen. Dit vermindert de downtime die anders een grote impact op uw bedrijf kan hebben.
Je moet ook DNS-forwarder logs controleren om verdachte activiteiten of onverantwoordelijk gebruikersgedrag op te merken om potentiële beveiligingsrisico's voor te blijven.
Alternatieve configuratie maken en testen
Met een alternatieve configuratie kun je overschakelen naar een andere forwarder in geval van een storing. Dit zal opnieuw de downtime verminderen en je bronnen toegankelijk houden. Sla het testen van de alternatieve configuratie niet over voordat je een nieuwe opstelling maakt.
Maak regelmatig back-ups van DNS-servergegevens
Kwaadwillenden vallen uw server aan en proberen gegevens te wijzigen of te verwijderen. Het maken van back-ups van DNS-servergegevens helpt om deze snel te herstellen zonder de verkeersstroom op uw netwerk te verstoren. Zonder back-ups duurt het uren of zelfs dagen om alles te herstellen, wat een grote impact heeft op je bedrijf.
- Is koude e-mail nog steeds effectief in 2025? Beste praktijken voor bereik en veiligheid - 20 juni 2025
- DMARC MSP Praktijkstudie: Hoe PrimaryTech de beveiliging van klantdomeinen vereenvoudigde met PowerDMARC - 18 juni 2025
- DMARC fout-positieven: Oorzaken, oplossingen en preventiegids - 13 juni 2025