什么是DNS转发?
DNS转发有助于加速你的网络,如果你的用户请求你的域名,但他们的DNS服务器在缓存中找不到相应的IP地址,你应该实施它。这个过程一般由拥有广泛名称空间的公司使用。
继续阅读博客,了解什么是DNS转发以及它是如何用于外部和内部地址的。
什么是DNS转发?
DNS 转发是另一个指定服务器(根提示服务器)处理无法解析的地址或 DNS 查询的过程,因为最初联系的服务器没有答案。一般来说,所有将域名转换为IP 地址的服务器都会被指定一个特定的转发器,用于转发它们无法解析的所有请求。
这种技术被拥有非常大的命名空间的企业或合作的公司使用,因为他们可以解决对方的命名空间。
DNS转发是如何工作的?
现在,让我们看看DNS转发的工作程序。
当内部DNS信息是私有的,如果根提示服务器暴露在公众面前,它可以在线传输,因为内部网络中没有使用DNS转发器。如果你的网络的ISP收费很高,或者由于没有内部DNS转发器,连接速度不快,你也可以使用它。这是因为内部DNS转发器增加了外部流量,使其处理起来很复杂。
使用DNS转发器将有助于为外部DNS数据建立一个内部缓存,以减少外部DNS流量。
如何在微软Windows Server 2008 R2和2016上配置DNS转发器?
在你开始配置DNS转发的程序之前,注意SIA递归DNS服务器的IP地址,并确保配置了一个根文件。你可以使用IP地址查询来找到你的域名的IP地址。根提示文件列出了活动目录域为递归查询而联系的根DNS服务器。这可以通过Windows服务器的图形用户界面或命令行来完成。
图形用户界面
按照这些步骤,使用图形用户界面在Windows上配置DNS转发器。
- 点击开始 > 管理工具 > DNS。
- 右键单击你想配置为转发器的DNS服务器。
- 转到行动菜单,选择属性。
- 选择转发者标签。
- 单击 "编辑"。
- 在编辑转发者对话框中,输入SIA递归DNS服务器的主要IP地址,然后按回车键。
- 添加SIA递归DNS服务器的二级IP地址,然后按Enter键。
- 删除被列为转发者的其他服务器。在转发者列表中只保留主要和次要的递归DNS服务器。
- 在转发查询超时前的秒数部分添加一个值,指定DNS服务器等待响应的秒数。
- 单击 "确定"。
- 启用Use Root Hints if no forwarders are available选项。该选项确保根提示文件中的DNS服务器在本地解析名称。
- 在属性对话框中,点击确定。
命令行界面
按照这些步骤,使用命令行界面在Windows上配置DNS转发。
- 打开一个命令提示符,以管理员身份运行它。
- Type dnscmd <ServerName> /ResetForwarders <PrimaryIPaddress …> [/TimeOut <Time>] /noslave and press Enter.
在哪里?
- <ServerName> is the DNS server’s domain name or IP address.
- <PrimaryIPaddress> are IP addresses of the DNS servers where you forward queries. Separate each IP address with a space.
- <Time> is the time in seconds for time-out settings.
有条件转发
DNS有条件转发是使用DNS服务器完成的,它转发某些域名的查询,而不是转发所有查询。它们根据查询中提到的主机名,将查询发送到特定的转发器。
条件性转发DNS通过在转发过程中设置一个基于名字的条件来改进传统的转发。
DNS条件性转发是有益的,因为它建立了一个更安全、更快速、更可靠的互联网连接。在此,DNS服务器向转发者发送递归查询。
外部地址的DNS转发
DNS 转发之所以重要,是因为如果没有一个指定的 DNS 服务器作为转发器,将所有外部查询路由到该服务器,那么所有内部 DNS服务器都必须处理这些请求。这是不可取的,因为
- 在没有区分外部和内部DNS的情况下,内部DNS数据会被泄露。这是一个令人担忧的潜在安全和隐私漏洞。
- 如果你没有暗示DNS转发,流量负载就会增加。当你指定一个DNS服务器作为转发者时,它处理所有的外部DNS决议,并创建一个外部地址的缓存,以尽量减少递归查询的数量,从而削减流量。
如果你的公司规模小,带宽有限,暗示DNS转发可以使网络更有效率和速度。
内部地址的DNS转发
专家建议通过DNS转发来处理内部地址的一个子集。另外,对于广泛的内部网络,包括几个域和子域,让这些域的一个子集的DNS请求由一个专门的服务器控制是很实际的。这些请求一般用有条件转发的DNS原则进行转发。
DNS转发的最佳实践
DNS对于当今互联网驱动的世界至关重要。如果你只有一个DNS服务器,它应该被配置为一个转发者。如果你有一个以上的服务器,那么你可以将其中一个、一些或所有的服务器配置为转发器。除此以外,你可以遵循下面列出的做法,以确保DNS转发器的最佳性能。
禁用递归
递归允许DNS服务器代表客户查询其他服务器。这有助于DNS转发过程,但也使你的网络暴露在安全风险中。因此,如果你禁用它,受到攻击的可能性就会减少。它还会减少流量负载,你的网络会变得很迅速。
启用DNSSEC验证
DNSSEC或域名系统安全扩展是安全协议,可防止 域名系统欺骗和 缓存中毒攻击.如果它被启用,DNS转发器会检查数字签名。如果签名不匹配,响应会被丢弃,并向客户发送错误信息。
然而,你应该只通过安全连接来使用它。否则,黑客可以截获并修改正在交换的数据。
监控DNS服务器
定期监测DNS服务器会提醒你潜在的技术问题,使你能够采取快速行动。这减少了停机时间,否则会严重影响你的业务。
你还应该检查DNS转发器的日志,以注意可疑的活动或不负责任的用户行为,以保持潜在的安全风险。
创建和测试备用配置
一个备用的配置将允许你在发生故障时切换到不同的转发器。这将再次减少停机时间,并保持你的资源可以使用。在建立一个新的设置之前,不要跳过测试备用配置。
定期备份DNS服务器数据
恶意行为者攻击你的服务器并试图修改或删除数据。备份DNS服务器数据有助于快速恢复,而不会破坏你网络上的交通流。如果没有备份,将需要几个小时甚至几天来恢复一切,强烈影响你的业务。
- PowerDMARC 与 CNS 合作推进中东地区的电子邮件安全实践- 2024 年 4 月 24 日
- 如何修复 Outlook 电子邮件错误?- 2024 年 4 月 24 日
- 什么是 Clop Ransomware?- 2024 年 4 月 18 日