DNS forwarding helpt uw netwerk te versnellen, en u zou het moeten implementeren als uw gebruikers uw domeinnaam opvragen maar hun DNS-server het overeenkomstige IP-adres niet in de cache kan vinden. Dit proces wordt meestal gebruikt door bedrijven met uitgebreide namespaces.
Blijf de blog lezen om te weten wat DNS forwarding is en hoe het wordt gebruikt voor externe en interne adressen.
Wat is DNS doorsturen?
DNS doorsturen is een proces waarbij een andere aangewezen server (root hint server) niet-oplosbare adressen of DNS-verzoeken afhandelt omdat de aanvankelijk gecontacteerde server het antwoord niet heeft. Over het algemeen krijgen alle servers die bedoeld zijn om domeinnamen om te zetten in IP-adressen een specifieke doorstuurder toegewezen voor het doorsturen van alle verzoeken die ze niet kunnen oplossen.
Deze techniek wordt gebruikt door bedrijven met zeer grote namespaces of bedrijven die samenwerken omdat ze elkaars namespaces kunnen oplossen.
Hoe werkt DNS doorsturen?
Laten we nu eens kijken hoe DNS forwarding werkt.
Wanneer interne DNS-informatie privé is, kan deze online worden verzonden als de root hint server is blootgesteld aan het publiek omdat er geen DNS-forwarder wordt gebruikt in het interne netwerk. U kunt het ook gebruiken als de ISP-kosten van uw netwerk zwaar zijn of als de verbinding niet snel is door de afwezigheid van een interne DNS-forwarder. Dit komt omdat een interne DNS-forwarder het externe verkeer doet toenemen, waardoor het ingewikkeld wordt om af te handelen.
Het gebruik van een DNS-forwarder zal helpen een interne cache op te bouwen voor externe DNS-gegevens om het externe DNS-verkeer te verminderen.
Hoe DNS-forwarders configureren op Microsoft Windows Server 2008 R2 en 2016?
Voordat u de procedure start om DNS forwarding te configureren, moet u het IP-adres van de SIA recursieve DNS-servers noteren en ervoor zorgen dat een root-bestand is geconfigureerd. U kunt IP address lookup gebruiken om het IP-adres van uw domein te vinden. Het root hint bestand geeft een lijst van root DNS servers waarmee het active directory domein contact opneemt voor recursie queries. Dit kan worden gedaan met de grafische gebruikersinterface van Windows Server of met de opdrachtregel.
Grafische gebruikersinterface
Volg deze stappen om DNS-forwarders op Windows te configureren met behulp van de grafische gebruikersinterface.
- Klik op Start > Administratieve hulpmiddelen > DNS.
- Klik met de rechtermuisknop op de DNS-server die u als doorstuurder wilt configureren.
- Ga naar het menu Actie en selecteer Eigenschappen.
- Selecteer het tabblad Forwarders.
- Klik op Bewerken.
- Voer in het dialoogvenster Edit Forwarders het primaire IP-adres van de SIA recursieve DNS-server in en druk op Enter.
- Voeg het secundaire IP-adres van de SIA recursieve DNS-server toe en druk op Enter.
- Verwijder andere servers die als forwarders zijn vermeld. Bewaar alleen de primaire en secundaire recursieve DNS-servers in de lijst met doorstuurders.
- Voeg een waarde toe in de sectie Aantal seconden voordat de doorstuurquery's stoppen om het aantal seconden toe te wijzen dat een DNS-server wacht op een antwoord.
- Klik op OK.
- Schakel de optie Use Root Hints if no forwarders are available in. Deze optie zorgt ervoor dat DNS-servers in een root hints bestand de naam lokaal oplossen.
- Klik in het eigenschappenvenster op OK.
Opdrachtregelinterface
Volg deze stappen om DNS-forwarding op Windows te configureren met behulp van de opdrachtregelinterface.
- Open een opdrachtprompt en voer deze uit als administrator.
- Type dnscmd <ServerName> /ResetForwarders <PrimaryIPaddress …> [/TimeOut <Time>] /noslave and press Enter.
Waar:
- <ServerName> is the DNS server’s domain name or IP address.
- <PrimaryIPaddress> are IP addresses of the DNS servers where you forward queries. Separate each IP address with a space.
- <Time> is the time in seconds for time-out settings.
Voorwaardelijke doorgifte
DNS voorwaardelijk doorsturen wordt gedaan met behulp van DNS-servers die query's doorsturen voor bepaalde domeinnamen in plaats van alle query's door te sturen. Ze sturen query's door naar specifieke forwarders, afhankelijk van de hostnamen die in de query worden vermeld.
Conditional forwarding DNS verbetert de conventionele forwarding door een op naam gebaseerde voorwaarde in het forwardingproces op te nemen.
DNS conditional forwarding is nuttig omdat het een veiligere, snellere en betrouwbaardere internetverbinding tot stand brengt. Hierbij stuurt de DNS-server recursieve query's naar de forwarder.
DNS doorsturen voor externe adressen
DNS doorsturen is belangrijk omdat als er geen aangewezen DNS server is als doorstuurder voor alle externe queries, alle interne DNS servers de verzoeken moeten afhandelen. Dit is ongewenst omdat:
- Interne DNS-gegevens kunnen uitlekken zonder onderscheid tussen externe en interne DNS. Dit is een zorgwekkend potentieel veiligheids- en privacylek.
- De verkeersbelasting neemt toe als u DNS forwarding niet heeft geïmplementeerd. Wanneer u een DNS-server als doorstuurder aanwijst, handelt deze alle externe DNS-resoluties af en creëert een cache van externe adressen om het aantal recursieve verzoeken tot een minimum te beperken, waardoor het verkeer afneemt.
Als uw bedrijf klein is en beperkte bandbreedte heeft, kan het toepassen van DNS forwarding het netwerk efficiënter en sneller maken.
DNS doorsturen voor interne adressen
Experts raden aan om een subset van interne adressen via DNS forwarding te laten afhandelen. Ook voor uitgebreide intranetten, met verschillende domeinen en subdomeinen, is het praktisch om DNS-verzoeken voor een subset van die domeinen door een speciale server te laten beheren. Deze verzoeken worden doorgaans doorgestuurd met het DNS-principe van conditionele doorsturing.
Beste praktijken voor DNS doorsturen
DNS is cruciaal voor de huidige internet-gedreven wereld. Als u slechts één DNS-server hebt, moet die als doorstuurder worden geconfigureerd. Heeft u er meer dan één, dan kunt u er één, enkele of allemaal als forwarder configureren. Daarnaast kunt u de onderstaande praktijken volgen om ervoor te zorgen dat DNS-forwarders optimaal presteren.
Recursie uitschakelen
Met recursie kunnen DNS-servers namens de client andere servers bevragen. Dit helpt bij het doorsturen van DNS, maar stelt uw netwerk ook bloot aan beveiligingsrisico's. Dus, als u het uitschakelt, vermindert de kans om aangevallen te worden. Het vermindert ook de verkeersbelasting en uw netwerk wordt sneller.
DNSSEC-validatie inschakelen
DNSSEC of Domain name System security Extensions zijn beveiligingsprotocollen die beschermen tegen DNS-spoofing en cache poisoning aanvallen. Als dit is ingeschakeld, controleren DNS-forwarders de digitale handtekeningen. Het antwoord wordt genegeerd als de handtekening niet overeenkomt, en er wordt een foutmelding naar de client gestuurd.
U moet het echter alleen gebruiken via een beveiligde verbinding. Anders kunnen hackers de uitgewisselde gegevens onderscheppen en wijzigen.
DNS-servers bewaken
Regelmatige bewaking van DNS-servers waarschuwt u voor mogelijke technische problemen, zodat u snel actie kunt ondernemen. Dit vermindert de downtime die uw bedrijf anders zwaar kan belasten.
U moet ook de logboeken van DNS-forwarders controleren om verdachte activiteiten of onverantwoordelijk gebruikersgedrag op te merken en zo potentiële veiligheidsrisico's voor te blijven.
Alternatieve configuratie maken en testen
Met een alternatieve configuratie kunt u in geval van storing overschakelen op een andere forwarder. Dit vermindert opnieuw de downtime en houdt uw resources toegankelijk. Sla het testen van de alternatieve configuratie niet over voordat u een nieuwe opstelling maakt.
Regelmatig een back-up maken van DNS-servergegevens
Kwaadwillenden vallen uw server aan en proberen gegevens te wijzigen of te verwijderen. Door een back-up te maken van DNS-servergegevens kunt u deze snel herstellen zonder de verkeersstroom op uw netwerk te verstoren. Zonder back-ups duurt het uren of zelfs dagen om alles te herstellen, met grote gevolgen voor uw bedrijf.
