Что такое сервера условной пересылки

Общее представление о серверах пересылки

DNS-сервер можно назначить как сервер пересылки путем настройки других DNS-серверов в сети на переадресацию запросов, которые не могут быть разрешены локально, на этот DNS-сервер. С помощью сервера пересылки можно управлять разрешением имен для имен, находящихся за пределами организации, например в Интернете, и увеличивать эффективность разрешения имен для компьютеров в сети. Дополнительные сведения об использовании серверов пересылки и условной пересылки см. в разделе Использование серверов пересылки.

На следующем рисунке показано, как отправляются запросы внешних имен с помощью серверов пересылки.

При назначении DNS-сервера в качестве сервера пересылки он становится ответственным за обработку внешнего трафика, что ограничивает его доступность из Интернета. Сервер пересылки создает большой кэш, где хранятся сведения о внешних DNS, так как все внешние DNS-запросы в сети разрешаются через него. За небольшой промежуток времени сервер пересылки может разрешить большое количество внешних DNS-запросов, используя данные в собственном кэше. Это уменьшает интернет-трафик в сети и время ожидания ответа DNS-клиентами.

Поведение DNS-сервера, настроенного на использование сервера пересылки, отличается от поведения DNS-сервера, не использующего сервер пересылки. Поведение DNS-сервера, использующего сервер пересылки, заключается в следующем:

Запрос, пересылаемый DNS-сервером на сервер пересылки, является рекурсивным запросом. Он отличается от итеративного запроса, посылаемого DNS-сервером на другой DNS-сервер во время стандартного разрешения имен (то есть разрешения, при котором не задействован сервер пересылки).

Источник

Использование серверов пересылки

Чтобы использовать серверы пересылки для управления трафиком DNS между сетью и Интернетом, настройте брандмауэр сети для разрешения связи с Интернетом только одному DNS-серверу. При настройке других DNS-серверов в сети на пересылку запросов, которые не могут быть разрешены локально, на этот DNS-сервер, последний выступает как сервер пересылки. Дополнительные сведения об использовании серверов пересылки см. в разделе Общее представление о серверах пересылки.

Последовательность пересылки

Порядок IP-адресов, которые указаны в качестве серверов пересылки на DNS-сервере, определяет последовательность использования этих IP-адресов. После того, как DNS-сервер перешлет запрос на сервер пересылки, имеющий первый IP-адрес из списка, он некоторое время ожидает ответ от этого сервера пересылки (в соответствии с параметром времени ожидания пересылки на DNS-сервере) перед повтором этой операции пересылки на следующий по списку IP-адрес. Этот процесс повторяется, пока не будет получен утвердительный ответ от сервера пересылки.

Например, на следующем рисунке DNS-серверы, имеющие первый и второй IP-адрес из списка, не отвечают на запрос DNS-сервера. DNS-сервер, имеющий третий IP-адрес из списка, отвечает, и запрос пересылается на этот DNS-сервер.

В отличие от стандартного разрешения, при котором время обмена пакетами «туда и обратно» связано с каждым сервером, IP-адреса в списке серверов пересылки не упорядочиваются в соответствии с этим временем. Чтобы изменить предпочтения, необходимо вручную изменить последовательность серверов.

Серверы условной пересылки

Серверы условной пересылки являются DNS-серверами, которые пересылают запросы в соответствии с именами доменов. Вместо пересылки DNS-сервером всех неразрешенных запросов на сервер пересылки, можно настроить DNS-серверы таким образом, чтобы они пересылали запросы на различные серверы пересылки в зависимости от определенных имен доменов, содержащихся в запросах. Пересылка в зависимости от имен доменов улучшает стандартную пересылку путем добавления к процессу пересылки условия, зависящего от имени.

Параметр сервера условной пересылки для DNS-сервера состоит из следующих компонентов:

Когда DNS-клиент или сервер выполняет операцию запроса DNS-сервера, этот сервер определяет, может ли он разрешить запрос, используя собственные данные зоны или данные, хранящиеся в кэше. Если DNS-сервер настроен на пересылку имени домена, указанного в запросе, запрос пересылается на IP-адрес сервера пересылки, который связан с этим именем домена. Например, на следующем рисунке каждый запрос имен доменов пересылается на DNS-сервер, связанный с именем домена.

Если DNS-сервер не имеет сервера пересылки для имени, указанного в запросе, он пытается разрешить запрос с помощью стандартной рекурсии. Дополнительные сведения см. в разделе Настройка DNS-сервера для использования серверов пересылки.

Можно использовать серверы условной пересылки для улучшения разрешения имен между внутренними (частными) пространствами имен DNS, которые не являются частью пространства имен DNS Интернета. Такие пространства имен DNS могут быть результатом слияния компаний. При настройке DNS-серверов в одном внутреннем пространстве имен для пересылки всех запросов на полномочные DNS-серверы во втором внутреннем пространстве имен, серверы условной пересылки включают разрешение имен между двумя пространствами имен без выполнения рекурсии с использованием пространства имен DNS Интернета. Это улучшение процесса разрешения имен также позволяет избегать выполнения рекурсии DNS-серверами на внутренние корневые серверы для других пространств имен в одной сети.

DNS-сервер не может пересылать запросы имен домена, находящихся в содержащейся на нем зоне. Например, полномочный DNS-сервер для зоны widgets.tailspintoys.com не может пересылать запросы, содержащие имя домена widgets.tailspintoys.com. DNS-сервер, который является полномочным для widgets.tailspintoys.com, может пересылать запросы DNS-имен, которые заканчиваются на hr.widgets.tailspintoys.com, если DNS-имя hr.widgets.tailspintoys.com было делегировано другому DNS-серверу.

Длина имени домена сервера условной пересылки

Когда DNS-сервер, настроенный как сервер условной пересылки, получает запрос на имя домена, он сравнивает имя домена со списком условий имен доменов и использует самое длинное условие имени домена, которое соответствует имени домена в запросе. Например, на рисунке DNS-сервер придерживается следующей логики условной пересылки для определения, как следует переслать запрос имени домена:

Источник

Настройка условной пересылки

Если у вас несколько внутренних доменов, вам стоит подумать о настройке условной пересылки. Она позволяет направлять запросы конкретных доменов для разрешения на конкретные DNS-серверы. Условная пересылка полезна, если в вашей организации есть несколько внутренних доменов и вам требуется разрешать запросы между ними.

Чтобы настроить условную пересылку, выполните следующие действия:

1. В консоли Диспетчер DNS (DNS Manager) щелкните правой кнопкой папку Серверы условной пересылки (Conditional Forwarders) нужного вам сервера. В контекстном меню выберите команду Создать условную пересылку (Conditional Forwarder).

2. В диалоговом окне Создать сервер условной пересылки (New Conditional Forwarder) введите имя домена, в который следует пересылать запросы, например, logi.cc.

3. Щелкните список ІР-адрес (IP Address), введите ІР-адрес полномочного DNS-сервера в указанном домене и нажмите Enter. Повторите процесс, чтобы указать дополнительные ІР-адреса.

4. При использовании интеграции DNS с Active Directory установите флажок Сохранять условную пересылку в Active Directory (Store This Conditional Forwarder In Active Directory) и выберите одну из следующих стратегий репликации.

• Все DNS-серверы в этом лесу (All DNS Servers In This Forest) Это обширнейшая стратегия репликации. Помните, что лес Active Directory включает все деревья доменов, использующие данные каталога совместно с текущим доменом.

• Все DNS-серверы в этом домене (All DNS Servers In This Domain) Выберите эту стратегию, чтобы реплицировать информацию DNS внутри текущего домена и его дочерних доменов.

• Все контроллеры домена в этом домене (All Domain Controllers In This Domain) Выберите эту стратегию, если хотите реплицировать информацию DNS на все контроллеры домена внутри текущего домена и его дочерних доменов. Хотя эта стратегия обеспечивает более широкую репликацию информации DNS внутри домена, не каждый контролер домена является DNS-сервером (вам и не нужно настраивать каждый контроллер домена как DNS-сервер).

5. Задайте время ожидания пересылки, то есть, время, в течение которого сервер пытается запросить сервер пересылки в случае отсутствия ответа. По истечении времени ожидания сервер пытается запросить следующий полномочный сервер из списка. Стандартное время ожидания составляет пять секунд. Щелкните ОК.

6. Повторите процедуру, чтобы настроить условную пересылку для других доменов.

Источник

Настройка DNS-сервера для использования серверов пересылки

DNS-сервер используется как сервер пересылки, когда другие DNS-серверы в сети настроены на переадресацию запросов, которые не могут быть разрешены локально, на этот DNS-сервер. С помощью сервера пересылки можно управлять разрешением имен для имен, находящихся за пределами организации, например в сети Интернет, что может способствовать увеличению эффективности разрешения имен для компьютеров в сети. Дополнительные сведения об использовании серверов пересылки и условной пересылки см. в разделе Общее представление о серверах пересылки.

Настройка DNS-сервера для использования пересылки

Откройте диспетчер DNS.

В дереве консоли щелкните необходимый DNS-сервер.

В меню Действие выберите команду Свойства.

На вкладке Серверы пересылки в разделе Домен DNS щелкните имя домена.

В поле Список IP-адресов серверов пересылки для выбранного домена введите IP-адрес сервера пересылки, а затем нажмите кнопку Добавить.

Дополнительные сведения

Можно отключить рекурсию для DNS-сервера, чтобы она не выполнялась для любого запроса. Если рекурсия на DNS-сервере отключена, на этом сервере невозможно будет использовать пересылку.

Откройте окно командной строки.

Введите указанную ниже команду и нажмите клавишу ВВОД.

Имя средства командной строки, предназначенного для управления DNS-серверами.

Обязательный компонент. DNS-имя узла, на котором содержится DNS-сервер. Также можно ввести IP-адрес DNS-сервера. Чтобы указать DNS-сервер на локальном компьютере, можно ввести точку (.).

Обязательный компонент. Настройка сервера пересылки.

Обязательный компонент. Разделенный пробелами список, состоящий из одного или нескольких IP-адресов DNS-серверов, на которые пересылаются запросы. Можно указать список IP-адресов, разделенных запятыми.

Указывает значение для параметра /TimeOut. Значение указывается в секундах. По умолчанию это время составляет 5 секунд.

Определяет, использует ли DNS-сервер рекурсию при запросе имени домена, указанного в параметре имя_зоны.

Чтобы просмотреть полный синтаксис этой команды, введите следующий текст в командной строке, а затем нажмите клавишу ВВОД:

Дополнительная информация

С помощью параметра /Local можно задать локальный список главных серверов для серверов пересылки, интегрированных в Active Directory. Параметр IP-адреса_серверов является списком, состоящим из одного или нескольких IP-адресов главных серверов для зоны. Главными серверами могут быть DNS-серверы, содержащие основные или дополнительные копии зоны, однако в главные серверы не могут быть записаны IP-адреса DNS-серверов таким образом, чтобы два DNS-сервера, содержащие копии зоны, использовали друг друга в качестве главных серверов. Такая настройка приведет к созданию циклической пересылки.

Источник

Условное разрешение DNS имен в Windows Server: DNS Conditional Forwarding, политики DNS

В этой статье мы рассмотрим два способа организации условного разрешения имен в DNS сервере на Windows Server 2016: DNS conditional forwarding и DNS policy. Эти технологии позволяют настроить условное разрешение DNS имен в зависимости от запрошенного имени, IP адреса и местоположения клиента, времени суток и т.д.

Настройка DNS Conditional Forwarder в Windows Server

Попробуем настроить условное перенаправление DNS запросов для определенной доменной зоны на Windows Server 2016. Например, я хочу, чтобы все DNS запросы к зоне corp.winitpro.ru пересылались на DNS сервер 10.1.10.11.

Настройка DNS Conditional Forwarding с помощью PowerShell

Вы можете создать правило Conditional Forward для определенной DNS зоны с помощью PowerShell. Воспользуйтесь командлетом Add-DnsServerConditionalForwarderZone:

Чтобы вывести список DNS Conditional Forwarders на определенном сервере, выполните следующий PowerShell скрипт:

Фильтрация запросов DNS, политики разрешения имен в Windows Server 2016

В Windows Server 2016 появилась новая фича в службе DNS сервера – DNS политики. DNS политики позволяют настроить DNS сервер так, чтобы он возвращал различные ответы на DNS запросы в зависимости от местоположения клиента (с какого IP адреса или подсети пришел запрос), интерфейса DNS сервера, времени суток, типа запрошенной записи (A, CNAME, PTR, MX) и т.д. DNS политики в Windows Server 2016 позволяют реализовать сценарии балансировки нагрузки, фильтрации DNS трафика, возврата DNS записей в зависимости от геолокации (IP адреса клиента) и многие другие сложные сценарии.

Вы можете создать политику как на уровне DNS сервера, так и на уровне всей зоны. Настройка DNS политик в Windows Server 2016 возможна только из командной строки PowerShell.

Попробуем создать простую политику, которая позволяет вернуть разный ответ на DNS запрос в зависимости от геолокации клиента. Допустим, вы хотите, чтобы клиенты в каждом офисе использовали собственный прокси на площадке. Вы создали политику назначения прокси в домене (на всех клиентах будет указано proxy.winitpro.ru). Но клиент из каждого офиса должен резолвить этот адрес по-разному, чтобы использовать для доступа свой локальный прокси-сервер.

Я создал 3 подсети для разных офисов компании:

Чтобы вывести список всех IP подсетей клиентов, выполните:

Теперь нужно для каждого офиса создать отдельную DNS область:

Следующие команды добавят 3 DNS записи с одним именем, но указывающие на разные IP адреса в разных областях DNS:

Теперь нужно создать DNS политики, которые свяжут IP подсети, DNS области и A записи.

Можно использовать следующие параметры в фильтре DNS:

-InternetProtocol «EQ,IPv4,NE,IPv6»
-TransportProtocol «EQ,UDP,TCP»
-ServerInterfaceIP «EQ,192.168.1.21»
-QType «EQ,A,AAAA,NE,PTR»
-TimeOfDay «EQ,9:00-18:00»

Вывести список всех DNS политик для DNS зоны на сервере можно так:

Теперь с устройств из различных офисов проверьте, что DNS сервер на один и тот же запрос возвращает различные IP адреса прокси:

Можно запретить DNS серверу возвращать DNS адреса для определенного пространства имен (домена):

Источник

• ← Что такое сервера приложений
• Что такое сервера яндекса →

	Важно!