DNS di Inoltro e l’Inoltro Condizionale
DNS di Inoltro migliora le prestazioni, per bilanciare il carico, e rende la rete più resiliente. Fornisce un modo per trasmettere spazi dei nomi o record di risorse che non sono contenuti nella zona di un server DNS (Local Domain Name System) al server DNS remoto per la risoluzione delle query sui nomi sia all’interno che all’esterno di una rete.
Ci sono due metodi che discuteremo: inoltro e inoltro condizionale. Per comprendere i vantaggi dell’inoltro condizionale, dobbiamo prima capire come funziona l’inoltro.
In un semplice esempio, uno spedizioniere DNS invia query sui nomi di domini esterni a un server DNS remoto al di fuori della propria rete locale per la risoluzione. Le query dei nomi interni vengono gestite dal server DNS interno.
Se il server DNS non ha uno spedizioniere elencato per il nome designato nella query, può tentare di risolvere la query utilizzando la ricorsione standard utilizzando il file suggerimenti root.
Esistono due tipi di query sui nomi DNS: ricorsive e iterative. Mentre sia l’inoltro DNS che l’inoltro DNS condizionale seguono i passaggi generali sopra, ognuno è un po ‘ diverso.
Query nome ricorsiva
Le query inoltrate vengono inviate come ricorsive. In questo scenario, il client DNS richiede che il server DNS risponda al client con il record di risorsa richiesto o un messaggio di errore che indica che il record o il nome di dominio non esiste. Il server DNS non può semplicemente indirizzare il client DNS a un server DNS diverso.
Query nome iterativo
Il client DNS consente al server DNS di restituire la risposta migliore che può dare in base alla cache o ai dati di zona.
Un server DNS configurato per utilizzare uno spedizioniere si comporterà in modo diverso rispetto a un server DNS che non è configurato per utilizzare uno spedizioniere. Ecco come funziona un server DNS quando si utilizza l’inoltro:
1.Quando il server DNS riceve una query nome, tenta di risolvere questa query utilizzando le sue zone primarie, zone secondarie e infine la sua cache in quell’ordine.
2. Se la query del nome non può essere risolta utilizzando i dati della zona locale o la cache, la query verrà inoltrata al server DNS designato come spedizioniere. Di conseguenza, il metodo di risoluzione dei nomi dei suggerimenti di root non verrà utilizzato.
3. Il server DNS originale che ha ricevuto la query iniziale attenderà brevemente una risposta dallo spedizioniere. Se ciò non riesce, tenterà di contattare i server DNS specificati nei suoi suggerimenti di root come ultima risorsa.
Gli spedizionieri condizionali consentono di migliorare la risoluzione dei nomi tra spazi dei nomi DNS interni (privati) che non fanno parte dello spazio dei nomi DNS di Internet, ad esempio i risultati di una fusione aziendale.
forwarder condizionali
forwarder condizionali sono server DNS che inoltrano solo query per nomi di dominio specifici. Invece di inoltrare tutte le query che non possono essere risolte localmente a uno spedizioniere, viene configurato uno spedizioniere condizionale per inoltrare una query a spedizionieri specifici in base al nome di dominio contenuto nella query. L’inoltro in base ai nomi di dominio migliora l’inoltro convenzionale aggiungendo una condizione basata sul nome al processo di inoltro.
Passiamo attraverso due esempi in cui l’inoltro condizionale è davvero utile. Il primo esempio è un nome interno e il secondo è uno scenario di risoluzione dei nomi esterni.
Esempio 1. Risoluzione dei nomi intranet
Quando un server DNS configurato con uno spedizioniere condizionale riceve una query per un nome di dominio, confronta tale nome di dominio con il relativo elenco di condizioni del nome di dominio e utilizza la condizione del nome di dominio più lunga che corrisponde al nome di dominio nella query. Ad esempio, nella figura seguente, il server DNS esegue la seguente logica di inoltro condizionale per determinare come verrà inoltrata una query per un nome di dominio:
- Il server DNS riceve una query per networks.example.microsoft.com.
- Confronta quel nome di dominio con entrambi microsoft.com e example.microsoft.com.
- Il server DNS determina che example.microsoft.com è il nome di dominio che corrisponde più strettamente alla query del nome di dominio.
- Il server DNS inoltra la query al server DNS con l’indirizzo IP 172.31.255.255, che è associato a example.microsoft.com.
Esempio 2: Risoluzione dei nomi Internet
I server DNS possono utilizzare forwarder condizionali per risolvere le query tra i nomi di dominio DNS delle aziende che condividono le informazioni. Ad esempio, due società, Widgets Toys e TailspinToys, vogliono migliorare il modo in cui i client DNS di Widgets Toys risolvono i nomi dei client DNS di Tailspin Toys. Gli amministratori di Tailspin Toys informano gli amministratori di Widgets Toys sul set di server DNS nella rete Tailspin Toys in cui i widget possono inviare query per il dominio dolls.tailspintoys.com. I server DNS all’interno della rete Widgets Toys sono configurati per inoltrare tutte le query per i nomi che terminano con dolls.tailspintoys.com ai server DNS designati nella rete per i giocattoli Tailspin. Di conseguenza, i server DNS nella rete Widgets Toys non hanno bisogno di interrogare i loro server root interni, o i server root Internet, per risolvere le query per i nomi che terminano con dolls.tailspintoys.com.
Il risultato è prestazioni migliori, meno larghezza di banda di rete e utenti finali più felici perché le loro query sui nomi tra domini diversi vengono risolte più velocemente.
Vantaggi inoltro condizionale
Inoltro condizionale porta a un Internet più sicuro, più veloce, più intelligente e più affidabile. Quando un server DNS inoltra una query a uno spedizioniere, invia una query ricorsiva allo spedizioniere. Questo è diverso dalla query del nome iterativo che un server DNS invierà ad altri server DNS durante la risoluzione della query del nome standard (risoluzione del nome che non coinvolge uno spedizioniere).
Configurando i server DNS in uno spazio dei nomi interno per inoltrare query ai server DNS autorevoli in un secondo spazio dei nomi interno, gli spedizionieri condizionali consentono la risoluzione dei nomi tra i due spazi dei nomi senza eseguire query iterative sui nomi DNS di Internet, il che porta a migliori prestazioni e utilizzo dei server DNS e riduzione del traffico su una sottorete LAN (Local Area Network).
Una LAN è una rete di computer che collega i computer all’interno di un’area limitata come una residenza, una scuola, un laboratorio o un edificio per uffici. Una rete locale è contrapposta in linea di principio a una rete wide area (WAN), in cui due o più LAN sono collegate e quindi copre una distanza geografica maggiore e può coinvolgere circuiti di telecomunicazione affittati, mentre i media per le LAN sono gestiti localmente.
Quando si designa un server DNS come spedizioniere, lo spedizioniere è responsabile della gestione del traffico esterno, limitando così l’esposizione del server DNS a Internet. Uno spedizioniere creerà una grande cache di informazioni DNS esterne perché tutte le query DNS esterne nella rete vengono risolte attraverso di essa. In una piccola quantità di tempo, uno spedizioniere sarà in grado di risolvere una buona parte delle query DNS esterne utilizzando questi dati memorizzati nella cache e quindi ridurre il traffico Internet sulla rete e il tempo di risposta per i client DNS. Di conseguenza, l’utilizzo del suggerimento root è notevolmente ridotto.
Impostazione di uno spedizioniere server DNS
Le istruzioni per impostare uno spedizioniere DNS condizionale per la risoluzione di nomi di dominio esterni utilizzando Windows Server 2012 R2 sono descritte di seguito.
1. Nell’albero della console, fare doppio clic sul server DNS applicabile. Espandere DNS, quindi fare doppio clic su Server DNS applicabile.
2. Nell’albero della console, fare doppio clic sul server DNS applicabile. Espandere DNS, quindi fare doppio clic su Server DNS applicabile.
3. Nella struttura della console, fare clic su Spedizionieri condizionali, quindi nel menu Azione fare clic su Nuovo spedizioniere condizionale.
4. In Dominio DNS, digitare il nome di dominio completo (FQDN) del dominio per il quale si desidera inoltrare le query.
5. Fare clic sugli indirizzi IP dell’elenco server master, digitare l’indirizzo IP del server a cui si desidera inoltrare le query per il dominio DNS specificato, quindi premere Invio.
6. Fare clic sulla casella di controllo “Memorizza questo spedizioniere condizionale in Active Directory” e replicarlo.
Sommario
Il protocollo DNS è una parte importante dell’infrastruttura web, che serve come rubrica di Internet: ogni volta che si visita un sito web, il computer esegue una ricerca DNS. Le pagine complesse richiedono spesso più ricerche DNS prima di iniziare il caricamento, quindi il computer potrebbe eseguire centinaia di ricerche al giorno. L’inoltro condizionale DNS può fornire prestazioni e sicurezza più elevate.
Anche se non si ha accesso a Windows Server o la possibilità di eseguire un server DNS locale, è comunque possibile sperimentare l’inoltro DNS utilizzando un DNS pubblico di Google o OpenDNS di Cisco. Entrambi sono opzioni gratuite che consentono di sperimentare con l’inoltro DNS. In entrambi i casi, tutto il tuo traffico DNS verrà inoltrato a loro e non al tuo Internet Service Provider (ISP). I vantaggi sono l’aumento delle prestazioni e della sicurezza da phishing, malware, botnet e attacchi online mirati. In entrambi i casi, il tuo traffico sarà probabilmente tracciato e profilato, quindi fai attenzione all’acquirente. Per lo meno, questi servizi ti aiutano a capire come funziona l’inoltro DNS nella vita reale.
Mentre l’impostazione dell’inoltro DNS in Windows Server è elaborata, su un normale computer Windows, tuttavia, richiede solo una schermata per la configurazione.
Istruzioni
- Aprire il Pannello di Controllo
- Apri Rete e Internet
- Apri Rete e Condivisione Center
- fare Clic su Cambia impostazioni della Scheda di rete
- Visualizza scheda delle Proprietà della Connessione di Rete Attiva
- Visualizza scheda delle Proprietà del Protocollo Internet Versione 4
utilizzare OpenDNS invece di Google Public DNS, in cui si dice “Server DNS Preferito” e “server DNS Alternativo”, l’uso del IP di OpenDNS indirizzo IP.
Per OpenDNS, gli indirizzi IP sono sempre: