Co to jest DNS Forwarding?
Przekierowanie DNS pomaga przyspieszyć działanie sieci i należy je wdrożyć, jeśli użytkownicy żądają nazwy domeny, ale ich serwer DNS nie może znaleźć odpowiedniego adresu IP w pamięci podręcznej. Proces ten jest zazwyczaj używany przez firmy posiadające rozbudowane przestrzenie nazw.
Czytaj dalej bloga, aby dowiedzieć się, czym jest przekierowanie DNS i jak jest wykorzystywane dla adresów zewnętrznych i wewnętrznych.
Co to jest DNS Forwarding?
Przekierowanie DNS to proces, w którym inny wyznaczony serwer (główny serwer podpowiedzi) obsługuje nierozwiązywalne adresy lub zapytania DNS, ponieważ pierwotnie skontaktowany serwer nie ma odpowiedzi. Ogólnie rzecz biorąc, wszystkie serwery przeznaczone do konwersji nazw domen na adresy IP są przypisane do określonego forwardera w celu przekazywania wszystkich żądań, których nie mogą rozwiązać.
Technika ta jest wykorzystywana przez firmy posiadające bardzo duże przestrzenie nazw lub firmy współpracujące, ponieważ mogą one rozwiązywać wzajemnie swoje przestrzenie nazw.
Jak działa przekierowanie DNS?
Teraz zobaczmy procedurę działania DNS forwarding.
Gdy wewnętrzne informacje DNS są prywatne, mogą być przekazywane online, jeśli główny serwer podpowiedzi jest wystawiony na widok publiczny, ponieważ w sieci wewnętrznej nie jest używany przekierowanie DNS. Możesz również użyć go, jeśli opłaty ISP w Twojej sieci są ciężkie lub połączenie nie jest szybkie z powodu braku wewnętrznego przekierowania DNS. Dzieje się tak dlatego, że wewnętrzny DNS forwarder zwiększa ruch zewnętrzny, co komplikuje jego obsługę.
Użycie forwardera DNS pomoże zbudować wewnętrzną pamięć podręczną dla zewnętrznych danych DNS, aby zmniejszyć zewnętrzny ruch DNS.
Jak skonfigurować DNS Forwarders na Microsoft Windows Server 2008 R2 i 2016?
Przed rozpoczęciem procedury konfiguracji przekierowania DNS, zanotuj adres IP rekurencyjnych serwerów DNS SIA i upewnij się, że skonfigurowany jest plik główny. Możesz użyć IP address lookup, aby znaleźć adres IP domeny. Plik podpowiedzi root wymienia serwery DNS root, z którymi kontaktuje się domena Active Directory w przypadku zapytań rekurencyjnych. Można to zrobić za pomocą graficznego interfejsu użytkownika Windows Server lub wiersza poleceń.
Graficzny interfejs użytkownika
Wykonaj poniższe kroki, aby skonfigurować forwardery DNS w systemie Windows za pomocą graficznego interfejsu użytkownika.
- Kliknij na Start > Narzędzia administracyjne > DNS.
- Kliknij prawym przyciskiem myszy serwer DNS, który chcesz skonfigurować jako forwarder.
- Przejdź do menu Akcja i wybierz opcję Właściwości.
- Wybierz zakładkę Forwarders.
- Kliknij przycisk Edytuj.
- W oknie dialogowym Edit Forwarders wprowadź podstawowy adres IP rekurencyjnego serwera DNS SIA i naciśnij Enter.
- Dodaj wtórny adres IP rekurencyjnego serwera DNS SIA i naciśnij Enter.
- Usuń inne serwery, które są wymienione jako forwardery. Zachowaj tylko podstawowy i drugorzędny rekurencyjny serwer DNS na liście forwarderów.
- Dodaj wartość w sekcji Number of seconds before the forward queries times out, aby przypisać liczbę sekund, przez które serwer DNS czeka na odpowiedź.
- Kliknij przycisk OK.
- Włącz opcję Use Root Hints if no forwarders are available. Ta opcja zapewnia, że serwery DNS w pliku root hints rozwiązują nazwę lokalnie.
- W oknie dialogowym właściwości kliknij przycisk OK.
Interfejs wiersza poleceń
Wykonaj poniższe kroki, aby skonfigurować przekierowanie DNS w systemie Windows za pomocą interfejsu wiersza poleceń.
- Otwórz wiersz poleceń i uruchom go jako administrator.
- Type dnscmd <ServerName> /ResetForwarders <PrimaryIPaddress …> [/TimeOut <Time>] /noslave and press Enter.
Gdzie:
- <ServerName> is the DNS server’s domain name or IP address.
- <PrimaryIPaddress> are IP addresses of the DNS servers where you forward queries. Separate each IP address with a space.
- <Time> is the time in seconds for time-out settings.
Przekazywanie warunkowe
Przekazywanie warunkowe DNS odbywa się przy użyciu serwerów DNS, które przekazują zapytania dla określonych nazw domen zamiast przekazywać wszystkie zapytania. Wysyłają one zapytania do określonych forwarderów w zależności od nazw hostów wymienionych w zapytaniu.
Przekazywanie warunkowe DNS poprawia konwencjonalne przekazywanie poprzez stawianie warunku opartego na nazwie w procesie przekazywania.
Przekazywanie warunkowe DNS jest korzystne, ponieważ ustanawia bezpieczniejsze, szybsze i bardziej niezawodne połączenie internetowe. W tym, serwer DNS wysyła zapytania rekursywne do forwardera.
Przekazywanie DNS dla adresów zewnętrznych
Przekierowanie DNS jest ważne, ponieważ jeśli nie ma wyznaczonego serwera DNS jako forwardera dla wszystkich zapytań zewnętrznych, wszystkie wewnętrzne serwery DNS muszą obsługiwać żądania. Jest to niepożądane, ponieważ:
- Dane wewnętrznego DNS mogą wyciec bez rozróżnienia zewnętrznego i wewnętrznego DNS. Jest to niepokojąca potencjalna luka w bezpieczeństwie i prywatności.
- Obciążenie ruchu wzrasta, jeśli nie zaimplantowałeś przekierowania DNS. Kiedy wyznaczysz serwer DNS jako forwarder, obsługuje on wszystkie zewnętrzne rozdzielczości DNS i tworzy pamięć podręczną adresów zewnętrznych, aby zminimalizować liczbę zapytań rekursywnych, zmniejszając w ten sposób ruch.
Jeśli Twoja firma jest mała i ma ograniczoną przepustowość, sugerowanie przekierowania DNS może sprawić, że sieć będzie bardziej wydajna i szybsza.
Przekazywanie DNS dla adresów wewnętrznych
Eksperci zalecają, aby podzbiór adresów wewnętrznych był obsługiwany przez DNS forwarding. Również w przypadku rozbudowanych intranetów, obejmujących kilka domen i subdomen, praktycznym rozwiązaniem jest, aby żądania DNS dla podzbioru tych domen były kontrolowane przez dedykowany serwer. Żądania te są zazwyczaj przekazywane za pomocą zasady warunkowego przekazywania DNS.
Najlepsze praktyki dotyczące przekierowania DNS
DNS jest kluczowy w dzisiejszym świecie napędzanym przez Internet. Jeśli masz tylko jeden serwer DNS, powinien on być skonfigurowany jako forwarder. Jeśli masz więcej niż jeden, wtedy możesz skonfigurować jeden z nich, niektóre z nich lub wszystkie jako forwardery. Oprócz tego, możesz przestrzegać poniższych praktyk, aby zapewnić optymalne działanie forwarderów DNS.
Wyłączenie rekurencji
Rekursja pozwala serwerom DNS na odpytywanie innych serwerów w imieniu klienta. Pomaga to w procesie przekierowania DNS, ale również naraża sieć na zagrożenia bezpieczeństwa. Tak więc, jeśli wyłączysz ją, możliwość zostania zaatakowanym maleje. Zmniejszy to również obciążenie ruchu, a Twoja sieć stanie się szybsza.
Włącz walidację DNSSEC
DNSSEC lub Domain Name System security Extensions to protokoły bezpieczeństwa, które chronią przed spoofingiem DNS oraz atakami typu cache poisoning. Jeśli jest włączony, forwardery DNS sprawdzają podpisy cyfrowe. Odpowiedź jest odrzucana, jeśli podpis nie pasuje, a komunikat o błędzie jest wysyłany do klienta.
Należy jednak korzystać z niego wyłącznie za pośrednictwem bezpiecznego połączenia. W przeciwnym razie hakerzy mogą przechwycić i zmodyfikować wymieniane dane.
Monitorowanie serwerów DNS
Regularny monitoring serwerów DNS ostrzega o potencjalnych problemach technicznych, umożliwiając podjęcie szybkich działań. W ten sposób redukujesz przestoje, które w przeciwnym razie mogą mocno wpłynąć na Twój biznes.
Należy również sprawdzić logi forwardera DNS, aby zauważyć podejrzane działania lub nieodpowiedzialne zachowania użytkowników, aby wyprzedzić potencjalne zagrożenia bezpieczeństwa.
Tworzenie i testowanie konfiguracji alternatywnej
Alternatywna konfiguracja pozwoli Ci na przełączenie się na inny forwarder w przypadku awarii. To ponownie zmniejszy przestoje i utrzyma dostępność Twoich zasobów. Nie pomijaj testowania alternatywnej konfiguracji przed ustanowieniem nowej konfiguracji.
Regularne tworzenie kopii zapasowych danych serwera DNS
Złośliwe podmioty atakują Twój serwer i próbują modyfikować lub usuwać dane. Tworzenie kopii zapasowych danych serwera DNS pozwala na ich szybkie przywrócenie bez zakłócania ruchu w sieci. Bez kopii zapasowych przywrócenie wszystkiego zajmie godziny, a nawet dni, co będzie miało duży wpływ na działalność firmy.
- PowerDMARC współpracuje z CNS w celu rozwoju praktyk bezpieczeństwa poczty elektronicznej na Bliskim Wschodzie - 24 kwietnia 2024 r.
- Jak naprawić błędy poczty e-mail w Outlooku? - 24 kwietnia 2024 r.
- Czym jest Clop Ransomware? - 18 kwietnia 2024 r.