DNS forwarding helpt je netwerk te versnellen en zou je moeten implementeren als je gebruikers je domeinnaam aanvragen maar hun DNS server het overeenkomstige IP-adres niet kan vinden in de cache. Bedrijven met uitgebreide namespaces gebruiken dit proces vaak.
Blijf de blog lezen om te weten wat DNS doorsturen is en hoe het wordt gebruikt voor externe en interne adressen.
Wat is DNS doorsturen?
DNS forwarding is een proces waarbij een andere aangewezen server (root hint server) niet-oplosbare adressen of DNS-verzoeken afhandelt omdat de aanvankelijk gecontacteerde server het antwoord niet heeft. In het algemeen wordt aan alle servers die bedoeld zijn om domeinnamen om te zetten in IP-adressen een specifieke doorstuurder toegewezen voor het doorsturen van alle verzoeken die zij niet kunnen oplossen.
Deze techniek wordt gebruikt door bedrijven met zeer grote namespaces of bedrijven die samenwerken omdat ze elkaars namespaces kunnen oplossen.
Wat is een DNS Fowarder?
Een DNS-forwarder is een DNS-server die is geconfigureerd om query's die niet lokaal kunnen worden opgelost, door te sturen naar een andere DNS-server, meestal een externe. Deze doorsturende DNS-server fungeert meestal als een tussenliggende server die verantwoordelijk is voor het eenvoudig doorsturen van DNS-verzoeken naar een meer gezaghebbende DNS-server voor effectieve query-oplossing.
Hoe werkt DNS doorsturen?
Laten we nu eens kijken hoe DNS forwarding werkt.
Wanneer interne DNS-informatie privé is, kan deze online worden verzonden als de root hint server is blootgesteld aan het publiek omdat er geen DNS-forwarder wordt gebruikt in het interne netwerk. U kunt het ook gebruiken als de ISP-kosten van uw netwerk zwaar zijn of als de verbinding niet snel is door de afwezigheid van een interne DNS-forwarder. Dit komt omdat een interne DNS-forwarder het externe verkeer doet toenemen, waardoor het ingewikkeld wordt om af te handelen.
Het gebruik van een DNS-forwarder zal helpen een interne cache op te bouwen voor externe DNS-gegevens om het externe DNS-verkeer te verminderen.
DNS-doorstuursoorten
Laten we de 2 primaire DNS doorstuurtypes bespreken en hoe elk van hen werkt:
1. Voorwaardelijk doorsturen
DNS voorwaardelijk doorsturen wordt gedaan met behulp van DNS-servers die query's doorsturen voor bepaalde domeinnamen in plaats van alle query's door te sturen. Ze sturen query's door naar specifieke doorstuurders, afhankelijk van de hostnamen die in de query worden vermeld. Voorwaardelijk doorsturen DNS verbetert conventioneel doorsturen door een op naam gebaseerde voorwaarde aan het proces toe te voegen. DNS voorwaardelijk doorsturen is voordelig omdat het een veiligere, snellere en betrouwbaardere internetverbinding tot stand brengt. Hierbij stuurt de DNS-server recursieve query's naar de doorstuurder.
2. Recursief doorsturen
In dit DNS doorstuurt een DNS-server een query door naar een andere DNS-server. De tweede server voert een recursieve lookup uit om de query op te lossen. Een gebruikscasus is wanneer een DNS-server query's doorstuurt naar een centrale DNS-server om ze op te lossen.
Doorsturen vs. Cachen
Bij DNS-forwarding stuurt een DNS-server clientquery's die hij niet direct kan oplossen naar een andere DNS-server (een forwarder). Dit wordt gebruikt om taken voor het oplossen van query's te verlichten of om specifiek beleid voor het doorsturen van query's te implementeren.
DNS caching houdt in dat de resultaten van eerdere query's tijdelijk worden opgeslagen om de latentie te verlagen en de prestaties te verbeteren. Wanneer een DNS-server een record in de cache heeft, wordt de query onmiddellijk uitgevoerd in plaats van doorgestuurd.
Voordelen van DNS doorsturen
Laten we eens kijken naar de verschillende voordelen van DNS forwarding:
1. Verbeterde Query Efficiëntie
Het doorsturen van query's naar een specifieke DNS-server verkort de querytijd aanzienlijk en zorgt voor veel snellere reacties, waardoor ook de latentie afneemt.
2. Gecentraliseerd beheer
DNS doorsturen vereenvoudigt DNS-beheer. Dit is vooral voordelig in grote organisaties, omdat beheerders DNS-queryresolutie kunnen centraliseren en controleren door een paar aangewezen DNS-servers toe te wijzen.
3. Veiligheid
Het doorsturen van DNS-query's naar een veilige en vertrouwde DNS-server helpt bij het voorkomen van cyberaanvallen zoals DNS-spoofingaanvallen.
4. Belasting in evenwicht brengen
Door de taken voor het oplossen van query's te verdelen over aangewezen DNS-servers, kan DNS doorsturen helpen om de belasting van een netwerk te verdelen. Dit voorkomt uiteindelijk dat een enkele DNS-server overbelast raakt.
5. Ondersteuning voor meerdere domeinen
Voor organisaties met meerdere interne of externe domeinen maakt voorwaardelijk doorsturen naadloze domeinspecifieke queryresolutie mogelijk.
Hoe DNS-forwarders configureren op Microsoft Windows Server 2008 R2 en 2016?
Noteer het IP-adres van de recursieve DNS-servers van de SIA en zorg ervoor dat er een rootbestand is geconfigureerd voordat je de procedure start om DNS doorsturen te configureren. Een IP-adres opzoeken kan u helpen om het IP-adres van uw eigen domein te vinden. Het root hint-bestand bevat de root DNS-servers waarmee het Active Directory-domein contact opneemt voor recursiequery's. Dit kan worden gedaan met het Windows Server Server-bestand. Dit kan worden gedaan met de grafische gebruikersinterface van Windows Server of via de opdrachtregel.
Grafische gebruikersinterface
Je kunt de onderstaande stappen volgen om DNS-forwarders op Windows in te stellen met behulp van de grafische gebruikersinterface.
- Klik op Start en ga naar Extra beheer > DNS.
- Klik met de rechtermuisknop op de DNS-server die u als doorstuurder wilt configureren.
- Navigeer naar het menu Actie en klik op het tabblad "Eigenschappen".
- Selecteer het tabblad Forwarders.
- Klik op Bewerken.
- Voer in het dialoogvenster Expediteurs bewerken het primaire IP-adres van de recursieve DNS-server van de SIA in en druk op Enter.
- Voeg het secundaire IP-adres van de SIA recursieve DNS-server toe en druk op Enter.
- Verwijder andere servers die als forwarders zijn vermeld. Bewaar alleen de primaire en secundaire recursieve DNS-servers in de lijst met doorstuurders.
- Voeg een waarde toe in de sectie Aantal seconden voordat de doorstuurquery's stoppen om het aantal seconden toe te wijzen dat een DNS-server wacht op een antwoord.
- Klik op OK.
- Schakel de optie "Use Root Hint if no forwarders are available" in. Deze optie zorgt ervoor dat DNS-servers in een bestand met roothints de naam lokaal oplossen.
- Klik in het eigenschappenvenster op OK.
Opdrachtregelinterface
Volg deze stappen om DNS-forwarding op Windows te configureren met behulp van de opdrachtregelinterface.
- Open de volgende opdrachtprompt. Merk op dat dit moet worden uitgevoerd als beheerder.
Type dnscmd <ServerName> /ResetForwarders <PrimaryIPaddress …> [/TimeOut <Time>] /noslave and press Enter.
Waar:
- <ServerName> is the DNS server’s domain name or IP address.
- <PrimaryIPaddress> are IP addresses of the DNS servers where you forward queries.
- Je moet elk IP-adres scheiden met een spatie.
- <Time> refers to the time-out settings time. It is calculated in seconds.
DNS doorsturen voor externe adressen
DNS-forwarding is belangrijk omdat als er geen aangewezen DNS-server is als doorstuurder waar alle externe queries naartoe worden geleid, alle interne DNS servers de verzoeken afhandelen. Dit is ongewenst omdat:
- Als de DNS niet duidelijk gescheiden is als extern en intern, is het heel goed mogelijk dat de interne DNS-gegevens uitlekken.
- De verkeersbelasting neemt toe als u DNS forwarding niet heeft geïmplementeerd. Wanneer u een DNS-server als doorstuurder aanwijst, handelt deze alle externe DNS-resoluties af en creëert een cache van externe adressen om het aantal recursieve verzoeken tot een minimum te beperken, waardoor het verkeer afneemt.
Als uw bedrijf klein is en beperkte bandbreedte heeft, kan het toepassen van DNS forwarding het netwerk efficiënter en sneller maken.
DNS doorsturen voor interne adressen
Experts raden aan om een subset van interne adressen af te handelen via DNS-forwarding. Voor uitgebreide intranetten, met meerdere domeinen en subdomeinen, is het praktisch om DNS-verzoeken voor een subset van die domeinen te laten beheren door een speciale server. Deze verzoeken worden over het algemeen doorgestuurd met het DNS-principe van conditioneel doorsturen.
Beste praktijken voor DNS doorsturen
DNS is cruciaal voor de huidige internet-gedreven wereld. Als u slechts één DNS-server hebt, moet die als doorstuurder worden geconfigureerd. Heeft u er meer dan één, dan kunt u er één, enkele of allemaal als forwarder configureren. Daarnaast kunt u de onderstaande praktijken volgen om ervoor te zorgen dat DNS-forwarders optimaal presteren.
Recursie uitschakelen
Met recursie kunnen DNS-servers namens de client andere servers bevragen. Dit helpt bij het doorsturen van DNS, maar stelt uw netwerk ook bloot aan beveiligingsrisico's. Dus, als u het uitschakelt, vermindert de kans om aangevallen te worden. Het vermindert ook de verkeersbelasting en uw netwerk wordt sneller.
DNSSEC-validatie inschakelen
DNSSEC of Domain Name System Security Extensions zijn beveiligingsprotocollen die beschermen tegen DNS-spoofing en cache-poisoning aanvallen. Als dit is ingeschakeld, controleren DNS-forwarders de digitale handtekeningen. Het antwoord wordt genegeerd als de handtekening niet overeenkomt en er wordt een foutbericht naar de client gestuurd.
U moet het echter alleen gebruiken via een beveiligde verbinding. Anders kunnen hackers de uitgewisselde gegevens onderscheppen en wijzigen.
DNS-servers bewaken
Regelmatige bewaking van DNS-servers waarschuwt u voor mogelijke technische problemen, zodat u snel actie kunt ondernemen. Dit vermindert de downtime die uw bedrijf anders zwaar kan belasten.
Je moet ook DNS-forwarder logs controleren om verdachte activiteiten of onverantwoordelijk gebruikersgedrag op te merken om potentiële beveiligingsrisico's voor te blijven.
Alternatieve configuratie maken en testen
Met een alternatieve configuratie kunt u in geval van storing overschakelen op een andere forwarder. Dit vermindert opnieuw de downtime en houdt uw resources toegankelijk. Sla het testen van de alternatieve configuratie niet over voordat u een nieuwe opstelling maakt.
Regelmatig een back-up maken van DNS-servergegevens
Kwaadwillenden vallen uw server aan en proberen gegevens te wijzigen of te verwijderen. Door een back-up te maken van DNS-servergegevens kunt u deze snel herstellen zonder de verkeersstroom op uw netwerk te verstoren. Zonder back-ups duurt het uren of zelfs dagen om alles te herstellen, met grote gevolgen voor uw bedrijf.