DNS-Weiterleitung und bedingte Weiterleitung
Die DNS-Weiterleitung verbessert die Leistung, den Lastausgleich und macht Ihr Netzwerk widerstandsfähiger. Es bietet eine Möglichkeit, Namespaces oder Ressourceneinträge, die nicht in der Zone eines lokalen DNS-Servers (Domain Name System) enthalten sind, zur Auflösung von Namensabfragen innerhalb und außerhalb eines Netzwerks an einen Remote-DNS-Server weiterzugeben.
Es gibt zwei Methoden, die wir diskutieren werden: Weiterleitung und bedingte Weiterleitung. Um die Vorteile der bedingten Weiterleitung zu verstehen, müssen wir zuerst verstehen, wie die Weiterleitung funktioniert.
In einem einfachen Beispiel sendet eine DNS-Weiterleitung Namensabfragen externer Domänen zur Auflösung an entfernte DNS-Server außerhalb ihres lokalen Netzwerks. Interne Namensabfragen werden vom internen DNS-Server bearbeitet.
Wenn auf dem DNS-Server keine Weiterleitung für den in der Abfrage angegebenen Namen aufgeführt ist, kann versucht werden, die Abfrage mithilfe der Standardrekursion mithilfe der Root-Hints-Datei aufzulösen.
Es gibt zwei Arten von DNS-Namensabfragen: rekursive und iterative. Während sowohl die DNS-Weiterleitung als auch die bedingte DNS-Weiterleitung den oben genannten allgemeinen Schritten folgen, unterscheidet sich jede ein wenig.
Rekursive Namensabfrage
Weitergeleitete Abfragen werden als rekursive gesendet. In diesem Szenario erfordert der DNS-Client, dass der DNS-Server dem Client entweder mit dem angeforderten Ressourceneintrag oder einer Fehlermeldung antwortet, dass der Datensatz oder der Domänenname nicht vorhanden ist. Der DNS-Server kann den DNS-Client nicht einfach auf einen anderen DNS-Server verweisen.
Iterative Namensabfrage
DNS-Client ermöglicht es dem DNS-Server, die beste Antwort zurückzugeben, die er basierend auf seinen Cache- oder Zonendaten geben kann.
Ein DNS-Server, der für die Verwendung einer Weiterleitung konfiguriert ist, verhält sich anders als ein DNS-Server, der nicht für die Verwendung einer Weiterleitung konfiguriert ist. So funktioniert ein DNS-Server bei der Weiterleitung:
1.Wenn der DNS-Server eine Namensabfrage empfängt, versucht er, diese Abfrage mithilfe seiner primären Zonen, sekundären Zonen und schließlich seines Caches in dieser Reihenfolge aufzulösen.
2. Wenn die Namensabfrage nicht mithilfe der lokalen Zonendaten oder des Caches aufgelöst werden kann, leitet sie die Abfrage an den DNS-Server weiter, der als Weiterleitung festgelegt ist. Daher wird die Methode root hints zur Namensauflösung nicht verwendet.
3. Der ursprüngliche DNS-Server, der die erste Abfrage erhalten hat, wartet kurz auf eine Antwort von der Weiterleitung. Wenn dies fehlschlägt, wird versucht, die in den Stammhinweisen angegebenen DNS-Server als letzten Ausweg zu kontaktieren.
Mit bedingten Weiterleitungen können Sie die Namensauflösung zwischen internen (privaten) DNS-Namespaces verbessern, die nicht Teil des DNS-Namespaces des Internets sind, z. B. Ergebnisse einer Unternehmensfusion.
Bedingte Weiterleitungen
Bedingte Weiterleitungen sind DNS-Server, die nur Abfragen für bestimmte Domänennamen weiterleiten. Anstatt alle Abfragen, die nicht lokal aufgelöst werden können, an eine Weiterleitung weiterzuleiten, wird eine bedingte Weiterleitung so konfiguriert, dass eine Abfrage basierend auf dem in der Abfrage enthaltenen Domänennamen an bestimmte Weiterleitungen weitergeleitet wird. Die Weiterleitung nach Domänennamen verbessert die herkömmliche Weiterleitung, indem dem Weiterleitungsprozess eine namensbasierte Bedingung hinzugefügt wird.
Lassen Sie uns zwei Beispiele durchgehen, in denen die bedingte Weiterleitung wirklich nützlich ist. Das erste Beispiel ist ein interner Name und das zweite ist ein externes Namensauflösungsszenario.
Beispiel 1. Intranetnamensauflösung
Wenn ein DNS-Server, der mit einer bedingten Weiterleitung konfiguriert ist, eine Abfrage für einen Domänennamen empfängt, vergleicht er diesen Domänennamen mit seiner Liste der Domänennamenbedingungen und verwendet die längste Domänennamenbedingung, die dem Domänennamen in der Abfrage entspricht. In der folgenden Abbildung führt der DNS-Server beispielsweise die folgende bedingte Weiterleitungslogik aus, um zu bestimmen, wie eine Abfrage für einen Domänennamen weitergeleitet wird:
- Der DNS-Server erhält eine Abfrage für networks.example.microsoft.com.
- Es vergleicht diesen Domainnamen mit beiden microsoft.com und example.microsoft.com .
- Der DNS-Server stellt fest, dass example.microsoft.com ist der Domainname, der der Domainnamenabfrage besser entspricht.
- Der DNS-Server leitet die Abfrage an den DNS-Server mit der IP-Adresse 172.31.255.255 weiter, der example.microsoft.com.
Beispiel 2: Internet Name resolution
DNS-Server können bedingte Weiterleitungen verwenden, um Abfragen zwischen den DNS-Domänennamen von Unternehmen aufzulösen, die Informationen gemeinsam nutzen. Beispielsweise möchten zwei Unternehmen, Widgets Toys und TailspinToys, verbessern, wie die DNS-Clients von Widgets Toys die Namen der DNS-Clients von Tailspin Toys auflösen. Die Administratoren von Tailspin Toys informieren die Administratoren von Widgets Toys über die DNS-Server im Tailspin Toys-Netzwerk, an die Widgets Abfragen für die Domäne senden können dolls.tailspintoys.com. Die DNS-Server im DNS-Servernetzwerk sind so konfiguriert, dass alle Abfragen für Namen weitergeleitet werden, die mit enden dolls.tailspintoys.com an die dafür vorgesehenen DNS-Server im Netzwerk für Tailspin Toys. Folglich müssen die DNS-Server im DNS-Servernetzwerk ihre internen Root-Server oder die Internet-Root-Server nicht abfragen, um Abfragen nach Namen aufzulösen, die mit enden dolls.tailspintoys.com .
Das Ergebnis ist eine bessere Leistung, weniger Netzwerkbandbreite und zufriedenere Endbenutzer, da ihre Namensabfragen zwischen verschiedenen Domänen schneller gelöst werden.
Vorteile der bedingten Weiterleitung
Die bedingte Weiterleitung führt zu einem sichereren, schnelleren, intelligenteren und zuverlässigeren Internet. Wenn ein DNS-Server eine Abfrage an eine Weiterleitung weiterleitet, sendet er eine rekursive Abfrage an die Weiterleitung. Dies unterscheidet sich von der iterativen Namensabfrage, die ein DNS-Server während der standardmäßigen Namensabfrageauflösung an andere DNS-Server sendet (Namensauflösung ohne Weiterleitung).
Durch Konfigurieren der DNS-Server in einem internen Namespace zum Weiterleiten von Abfragen an die autoritativen DNS-Server in einem zweiten internen Namespace ermöglichen bedingte Weiterleitungen die Namensauflösung zwischen den beiden Namespaces, ohne iterative Namensabfragen im DNS-Namespace des Internets durchzuführen.
Ein LAN ist ein Computernetzwerk, das Computer in einem begrenzten Bereich wie einem Wohn-, Schul-, Labor- oder Bürogebäude miteinander verbindet. Ein lokales Netzwerk wird im Prinzip einem Wide Area Network (WAN) gegenübergestellt, bei dem zwei oder mehr LANs verbunden sind und somit eine größere geografische Entfernung abdecken und gemietete Telekommunikationsschaltungen umfassen können, während die Medien für LANs lokal verwaltet werden.
Wenn Sie einen DNS-Server als Weiterleitung festlegen, ist dieser für die Verarbeitung des externen Datenverkehrs verantwortlich, wodurch die Exposition des DNS-Servers gegenüber dem Internet begrenzt wird. Eine Weiterleitung erstellt einen großen Cache mit externen DNS-Informationen, da alle externen DNS-Abfragen im Netzwerk über sie aufgelöst werden. In kurzer Zeit kann eine Weiterleitung einen Großteil der externen DNS-Abfragen mithilfe dieser zwischengespeicherten Daten auflösen und dadurch den Internetverkehr über das Netzwerk und die Antwortzeit für DNS-Clients verringern. Infolgedessen wird die Verwendung von Root-Hinweisen stark reduziert.
Einrichten einer DNS-Serverweiterleitung
Im Folgenden werden Anweisungen zum Einrichten einer bedingten DNS-Weiterleitung für die externe Domänennamenauflösung unter Windows Server 2012 R2 beschrieben.
1. Doppelklicken Sie in der Konsolenstruktur auf den entsprechenden DNS-Server. Erweitern Sie DNS, und doppelklicken Sie dann auf Anwendbarer DNS-Server.
2. Doppelklicken Sie in der Konsolenstruktur auf den entsprechenden DNS-Server. Erweitern Sie DNS, und doppelklicken Sie dann auf Anwendbarer DNS-Server.
3. Klicken Sie in der Konsolenstruktur auf Bedingte Weiterleitungen, und klicken Sie dann im Menü Aktion auf Neue bedingte Weiterleitung.
4. Geben Sie unter DNS-Domäne den vollqualifizierten Domänennamen (FQDN) der Domäne ein, für die Sie Abfragen weiterleiten möchten.
5. Klicken Sie auf die IP-Adressen der Liste Masterserver, geben Sie die IP-Adresse des Servers ein, an den Sie Abfragen für die angegebene DNS-Domäne weiterleiten möchten, und drücken Sie dann die Eingabetaste.
6. Aktivieren Sie das Kontrollkästchen „Diese bedingte Weiterleitung in Active Directory speichern“, und replizieren Sie sie.
Zusammenfassung
Das DNS-Protokoll ist ein wichtiger Teil der Web-Infrastruktur und dient als Telefonbuch des Internets: Jedes Mal, wenn Sie eine Website besuchen, führt Ihr Computer eine DNS-Suche durch. Komplexe Seiten erfordern häufig mehrere DNS-Lookups, bevor sie geladen werden, sodass Ihr Computer möglicherweise Hunderte von Lookups pro Tag durchführt. Bedingte DNS-Weiterleitung kann eine höhere Leistung und Sicherheit bieten.
Auch wenn Sie keinen Zugriff auf Windows Server haben oder keinen lokalen DNS-Server ausführen können, können Sie mit der DNS-Weiterleitung mithilfe eines öffentlichen Google DNS oder des OpenDNS von Cisco experimentieren. Beide sind kostenlose Optionen, mit denen Sie mit der DNS-Weiterleitung experimentieren können. In beiden Fällen wird Ihr gesamter DNS-Datenverkehr an sie weitergeleitet und nicht an Ihren Internetdienstanbieter (ISP). Vorteile sind erhöhte Leistung und Sicherheit vor Phishing, Malware, Botnets und gezielten Online-Angriffen. In beiden Fällen wird Ihr Datenverkehr wahrscheinlich verfolgt und profiliert. Zumindest helfen Ihnen diese Dienste zu verstehen, wie die DNS-Weiterleitung im wirklichen Leben funktioniert.
Während die Einrichtung der DNS-Weiterleitung in Windows Server aufwendig ist, dauert die Konfiguration auf einem normalen Windows-Computer jedoch nur einen Bildschirm.
Anleitung
- Systemsteuerung öffnen
- Netzwerk und Internet öffnen
- Netzwerk- und Freigabecenter öffnen
- Klicken Sie auf Adaptereinstellung ändern
- Eigenschaftenblatt der aktiven Netzwerkverbindung anzeigen
- Eigenschaftenblatt für die Internetprotokollversion anzeigen 4
Um OpenDNS anstelle von Google Public DNS zu verwenden, in dem „Bevorzugter DNS-Server“ und „Alternativer DNS-Server“ angegeben sind, verwenden Sie die IP-Adresse von IP OpenDNS.
Für OpenDNS sind die IP-Adressen immer: