什么是DNS转发？

DNS转发有助于加速你的网络，如果你的用户请求你的域名，但他们的DNS服务器在缓存中找不到相应的IP地址，你应该实施它。这个过程一般由拥有广泛名称空间的公司使用。

继续阅读博客，了解什么是DNS转发以及它是如何用于外部和内部地址的。 

什么是DNS转发？

DNS 转发是另一个指定服务器（根提示服务器）处理无法解析的地址或 DNS 查询的过程，因为最初联系的服务器没有答案。一般来说，所有将域名转换为IP 地址的服务器都会被指定一个特定的转发器，用于转发它们无法解析的所有请求。 

这种技术被拥有非常大的命名空间的企业或合作的公司使用，因为他们可以解决对方的命名空间。 

DNS转发是如何工作的？

现在，让我们看看DNS转发的工作程序。

当内部DNS信息是私有的，如果根提示服务器暴露在公众面前，它可以在线传输，因为内部网络中没有使用DNS转发器。如果你的网络的ISP收费很高，或者由于没有内部DNS转发器，连接速度不快，你也可以使用它。这是因为内部DNS转发器增加了外部流量，使其处理起来很复杂。 

使用DNS转发器将有助于为外部DNS数据建立一个内部缓存，以减少外部DNS流量。 

如何在微软Windows Server 2008 R2和2016上配置DNS转发器？

在你开始配置DNS转发的程序之前，注意SIA递归DNS服务器的IP地址，并确保配置了一个根文件。你可以使用IP地址查询来找到你的域名的IP地址。根提示文件列出了活动目录域为递归查询而联系的根DNS服务器。这可以通过Windows服务器的图形用户界面或命令行来完成。

图形用户界面

按照这些步骤，使用图形用户界面在Windows上配置DNS转发器。

1. 点击开始 > 管理工具 > DNS。
2. 右键单击你想配置为转发器的DNS服务器。
3. 转到行动菜单，选择属性。
4. 选择转发者标签。
5. 单击 "编辑"。
6. 在编辑转发者对话框中，输入SIA递归DNS服务器的主要IP地址，然后按回车键。
7. 添加SIA递归DNS服务器的二级IP地址，然后按Enter键。
8. 删除被列为转发者的其他服务器。在转发者列表中只保留主要和次要的递归DNS服务器。
9. 在转发查询超时前的秒数部分添加一个值，指定DNS服务器等待响应的秒数。
10. 单击 "确定"。
11. 启用Use Root Hints if no forwarders are available选项。该选项确保根提示文件中的DNS服务器在本地解析名称。
12. 在属性对话框中，点击确定。

命令行界面

按照这些步骤，使用命令行界面在Windows上配置DNS转发。 

1. 打开一个命令提示符，以管理员身份运行它。 
2. Type dnscmd <ServerName> /ResetForwarders <PrimaryIPaddress …> [/TimeOut <Time>] /noslave and press Enter.

 在哪里？ 

• <ServerName> is the DNS server’s domain name or IP address.
• <PrimaryIPaddress> are IP addresses of the DNS servers where you forward queries. Separate each IP address with a space.
• <Time> is the time in seconds for time-out settings.

有条件转发

DNS有条件转发是使用DNS服务器完成的，它转发某些域名的查询，而不是转发所有查询。它们根据查询中提到的主机名，将查询发送到特定的转发器。 

条件性转发DNS通过在转发过程中设置一个基于名字的条件来改进传统的转发。

DNS条件性转发是有益的，因为它建立了一个更安全、更快速、更可靠的互联网连接。在此，DNS服务器向转发者发送递归查询。

外部地址的DNS转发

DNS 转发之所以重要，是因为如果没有一个指定的 DNS 服务器作为转发器，将所有外部查询路由到该服务器，那么所有内部 DNS服务器都必须处理这些请求。这是不可取的，因为

1. 在没有区分外部和内部DNS的情况下，内部DNS数据会被泄露。这是一个令人担忧的潜在安全和隐私漏洞。
2. 如果你没有暗示DNS转发，流量负载就会增加。当你指定一个DNS服务器作为转发者时，它处理所有的外部DNS决议，并创建一个外部地址的缓存，以尽量减少递归查询的数量，从而削减流量。 

如果你的公司规模小，带宽有限，暗示DNS转发可以使网络更有效率和速度。

内部地址的DNS转发

专家建议通过DNS转发来处理内部地址的一个子集。另外，对于广泛的内部网络，包括几个域和子域，让这些域的一个子集的DNS请求由一个专门的服务器控制是很实际的。这些请求一般用有条件转发的DNS原则进行转发。

DNS转发的最佳实践

DNS对于当今互联网驱动的世界至关重要。如果你只有一个DNS服务器，它应该被配置为一个转发者。如果你有一个以上的服务器，那么你可以将其中一个、一些或所有的服务器配置为转发器。除此以外，你可以遵循下面列出的做法，以确保DNS转发器的最佳性能。 

禁用递归

递归允许DNS服务器代表客户查询其他服务器。这有助于DNS转发过程，但也使你的网络暴露在安全风险中。因此，如果你禁用它，受到攻击的可能性就会减少。它还会减少流量负载，你的网络会变得很迅速。 

启用DNSSEC验证

DNSSEC或域名系统安全扩展是安全协议，可防止 域名系统欺骗和 缓存中毒攻击.如果它被启用，DNS转发器会检查数字签名。如果签名不匹配，响应会被丢弃，并向客户发送错误信息。

然而，你应该只通过安全连接来使用它。否则，黑客可以截获并修改正在交换的数据。

监控DNS服务器

定期监测DNS服务器会提醒你潜在的技术问题，使你能够采取快速行动。这减少了停机时间，否则会严重影响你的业务。 

你还应该检查DNS转发器的日志，以注意可疑的活动或不负责任的用户行为，以保持潜在的安全风险。 

创建和测试备用配置

一个备用的配置将允许你在发生故障时切换到不同的转发器。这将再次减少停机时间，并保持你的资源可以使用。在建立一个新的设置之前，不要跳过测试备用配置。 

定期备份DNS服务器数据

恶意行为者攻击你的服务器并试图修改或删除数据。备份DNS服务器数据有助于快速恢复，而不会破坏你网络上的交通流。如果没有备份，将需要几个小时甚至几天来恢复一切，强烈影响你的业务。

• 关于
• 最新文章

Ahona Rudra

阿霍娜是 PowerDMARC 的市场经理，拥有 5 年以上的网络安全主题写作经验，擅长领域和电子邮件安全。阿霍娜拥有新闻与传播专业的研究生学位，自 2019 年以来，她在安全领域的职业生涯更加稳固。

Ahona Rudra的最新文章(查看全部)

• 区块链能帮助提高电子邮件安全吗？- 2024 年 5 月 9 日
• 数据中心代理：揭开代理世界的神秘面纱- 2024 年 5 月 7 日
• Kimsuky 在最近的网络钓鱼攻击中利用 DMARC "无 "策略- 2024 年 5 月 6 日