Verwenden der DNS-Richtlinie zum Anwenden von Filtern auf DNS-AbfragenUse DNS Policy for Applying Filters on DNS Queries

Gilt für: Windows Server (halbjährlicher Kanal), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

In diesem Thema erfahren Sie, wie Sie die DNS-Richtlinie in Windows Server ® 2016 konfigurieren, um Abfrage Filter basierend auf den von Ihnen bereitgestellten Kriterien zu erstellen.You can use this topic to learn how to configure DNS policy in Windows Server® 2016 to create query filters that are based on criteria that you supply.

Mithilfe von Abfrage Filtern in der DNS-Richtlinie können Sie den DNS-Server so konfigurieren, dass er basierend auf der DNS-Abfrage und dem DNS-Client, der die DNS-Abfrage sendet, Benutzer definiert reagiertQuery filters in DNS policy allow you to configure the DNS server to respond in a custom manner based on the DNS query and DNS client that sends the DNS query.

Beispielsweise können Sie die DNS-Richtlinie mit der Abfrage Filter-Sperr Liste konfigurieren, die DNS-Abfragen von bekannten schädlichen Domänen blockiert. Dadurch wird verhindert, dass DNS auf Abfragen von diesen Domänen antwortet.For example, you can configure DNS policy with query filter Block List that blocks DNS queries from known malicious domains, which prevents DNS from responding to queries from these domains. Da keine Antwort vom DNS-Server gesendet wird, kommt es bei der DNS-Abfrage für das böswillige Domänen Mitglied zu einem Timeout.Because no response is sent from the DNS server, the malicious domain member's DNS query times out.

Ein weiteres Beispiel besteht darin, eine Abfrage Filter-Zulassungsliste zu erstellen, die nur eine bestimmte Gruppe von Clients ermöglicht, bestimmte Namen aufzulösen.Another example is to create a query filter Allow List that allows only a specific set of clients to resolve certain names.

Abfrage FilterkriterienQuery filter criteria

Sie können Abfrage Filter mit einer beliebigen logischen Kombination (und/oder/nicht) der folgenden Kriterien erstellen.You can create query filters with any logical combination (AND/OR/NOT) of the following criteria.

NameName BESCHREIBUNGDescription
ClientsubnetzClient Subnet Name eines vordefinierten Clientsubnetzes.Name of a predefined client subnet. Wird verwendet, um das Subnetz zu überprüfen, aus dem die Abfrage gesendet wurde.Used to verify the subnet from which the query was sent.
TransportprotokollTransport Protocol Das Transport Protokoll, das in der Abfrage verwendet wird.Transport protocol used in the query. Mögliche Werte sind UDP und TCP.Possible values are UDP and TCP.
InternetprotokollInternet Protocol In der Abfrage verwendetes Netzwerkprotokoll.Network protocol used in the query. Mögliche Werte sind IPv4 und IPv6.Possible values are IPv4 and IPv6.
IP-Adresse der Server SchnittstelleServer Interface IP address IP-Adresse der Netzwerkschnittstelle des DNS-Servers, von dem die DNS-Anforderung empfangen wurde.IP address of the network interface of the DNS server that received the DNS request.
FQDNFQDN Der voll qualifizierte Domänen Name des Datensatzes in der Abfrage, mit der Möglichkeit, eine Platzhalter zu verwenden.Fully Qualified Domain Name of record in the query, with the possibility of using a wild card.
AbfragetypQuery Type Typ des Datensatzes ( , von dem A, SRV, txt usw. abgefragt wird ) .Type of record being queried (A, SRV, TXT, etc.).
TageszeitTime of Day Tageszeit, zu der die Abfrage empfangen wird.Time of day the query is received.

In den folgenden Beispielen wird gezeigt, wie Sie Filter für die DNS-Richtlinie erstellen, die DNS-Namens Auflösungs Abfragen blockieren oder zulassen.The following examples show you how to create filters for DNS policy that either block or allow DNS name resolution queries.

Hinweis

Die Beispiel Befehle in diesem Thema verwenden den Windows PowerShell-Befehl Add-dnsserverqueryresolutionpolicy.The example commands in this topic use the Windows PowerShell command Add-DnsServerQueryResolutionPolicy. Weitere Informationen finden Sie unter Add-dnsserverqueryresolutionpolicy.For more information, see Add-DnsServerQueryResolutionPolicy.

Blockieren von Abfragen aus einer DomäneBlock queries from a domain

In einigen Fällen möchten Sie möglicherweise die DNS-Namensauflösung für Domänen blockieren, die Sie als bösartig identifiziert haben, oder für Domänen, die nicht den Verwendungs Richtlinien Ihrer Organisation entsprechen.In some circumstances you might want to block DNS name resolution for domains that you have identified as malicious, or for domains that do not comply with the usage guidelines of your organization. Mithilfe der DNS-Richtlinie können Sie blockierende Abfragen für Domänen ausführen.You can accomplish blocking queries for domains by using DNS policy.

Die Richtlinie, die Sie in diesem Beispiel konfigurieren, wird nicht in einer bestimmten Zone erstellt – stattdessen erstellen Sie eine Richtlinie auf Server Ebene, die auf alle auf dem DNS-Server konfigurierten Zonen angewendet wird.The policy that you configure in this example is not created on any particular zone – instead you create a Server Level Policy that is applied to all zones configured on the DNS server. Richtlinien auf Server Ebene sind die ersten, die ausgewertet werden sollen, und die daher zuerst abgeglichen werden, wenn eine Abfrage vom DNS-Server empfangen wird.Server Level Policies are the first to be evaluated and thus first to be matched when a query is received by the DNS server.

Mit dem folgenden Beispiel Befehl wird eine Richtlinie auf Server Ebene so konfiguriert, dass alle Abfragen mit dem Domänen Suffix contosomalicious.com blockiert werden.The following example command configures a Server Level Policy to block any queries with the domain suffix contosomalicious.com.

Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicy" -Action IGNORE -FQDN "EQ,*.contosomalicious.com" -PassThru

Hinweis

Wenn Sie den Action -Parameter mit dem Wert Ignore konfigurieren, wird der DNS-Server so konfiguriert, dass er Abfragen ohne Antwort löscht.When you configure the Action parameter with the value IGNORE, the DNS server is configured to drop queries with no response at all. Dies bewirkt, dass für den DNS-Client in der bösartigen Domäne ein Timeout auftritt.This causes the DNS client in the malicious domain to time out.

Blockieren von Abfragen aus einem SubnetzBlock queries from a subnet

In diesem Beispiel können Sie Abfragen aus einem Subnetz blockieren, wenn Sie von Schadsoftware infiziert werden und versuchen, mithilfe Ihres DNS-Servers eine Verbindung mit böswilligen Sites herzustellen.With this example, you can block queries from a subnet if it is found to be infected by some malware and is trying to contact malicious sites using your DNS server.

"Add-DnsServerClientSubnet-Name" MaliciousSubnet06 "-IPv4Subnet 172.0.33.0/24-passthru` Add-DnsServerClientSubnet -Name "MaliciousSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThru

Add-DnsServerQueryResolutionPolicy-Name "BlockListPolicyMalicious06"-action Ignore-clientsubnet "EQ, MaliciousSubnet06"-passthru "Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06" -PassThru `

Im folgenden Beispiel wird veranschaulicht, wie Sie die subnetzkriterien in Kombination mit den FQDN-Kriterien verwenden können, um Abfragen für bestimmte schädliche Domänen aus infizierten Subnetzen zu blockieren.The following example demonstrates how you can use the subnet criteria in combination with the FQDN criteria to block queries for certain malicious domains from infected subnets.

Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06" –FQDN “EQ,*.contosomalicious.com” -PassThru

Einen Abfragetyp blockierenBlock a type of query

Möglicherweise müssen Sie die Namensauflösung für bestimmte Abfrage Typen auf Ihren Servern blockieren.You might need to block name resolution for certain types of queries on your servers. Beispielsweise können Sie die "Any"-Abfrage blockieren, die böswillig zum Erstellen von Verstärkungs Angriffen verwendet werden kann.For example, you can block the 'ANY' query, which can be used maliciously to create amplification attacks.

Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyQType" -Action IGNORE -QType "EQ,ANY" -PassThru

Nur Abfragen von einer Domäne zulassenAllow queries only from a domain

Sie können die DNS-Richtlinie nicht nur zum Blockieren von Abfragen verwenden, sondern Sie können Sie auch verwenden, um Abfragen aus bestimmten Domänen oder Subnetzen automatisch zu genehmigen.You can not only use DNS policy to block queries, you can use them to automatically approve queries from specific domains or subnets. Wenn Sie Zulassungs Listen konfigurieren, verarbeitet der DNS-Server nur Abfragen aus zulässigen Domänen, während alle anderen Abfragen aus anderen Domänen blockiert werden.When you configure Allow Lists, the DNS server only processes queries from allowed domains, while blocking all other queries from other domains.

Mit dem folgenden Beispiel Befehl können nur Computer und Geräte in der contoso.com und den untergeordneten Domänen den DNS-Server Abfragen.The following example command allows only computers and devices in the contoso.com and child domains to query the DNS server.

Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicyDomain" -Action IGNORE -FQDN "NE,*.contoso.com" -PassThru

Nur Abfragen aus einem Subnetz zulassenAllow queries only from a subnet

Sie können auch Zulassungs Listen für IP-Subnetze erstellen, sodass alle Abfragen, die nicht aus diesen Subnetzen stammen, ignoriert werden.You can also create Allow Lists for IP subnets, so that all queries not originating from these subnets are ignored.

Add-DnsServerClientSubnet -Name "AllowedSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThru Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicySubnet” -Action IGNORE -ClientSubnet "NE, AllowedSubnet06" -PassThru

Nur bestimmte qtypes zulassenAllow only certain QTypes

Sie können Allow-Listen auf qtypes anwenden.You can apply Allow Lists to QTYPEs.

Wenn Sie z. b. externe Kunden zum Abfragen der DNS-Server Schnittstelle 164.8.1.1 haben, können nur bestimmte qtypes abgefragt werden, während andere qtypes wie SRV-oder TXT-Einträge vorhanden sind, die von internen Servern zur Namensauflösung oder zu Überwachungszwecken verwendet werden.For example, if you have external customers querying DNS server interface 164.8.1.1, only certain QTYPEs are allowed to be queried, while there are other QTYPEs like SRV or TXT records which are used by internal servers for name resolution or for monitoring purposes.

Add-DnsServerQueryResolutionPolicy -Name "AllowListQType" -Action IGNORE -QType "NE,A,AAAA,MX,NS,SOA" –ServerInterface “EQ,164.8.1.1” -PassThru

Sie können Tausende von DNS-Richtlinien gemäß Ihren Anforderungen für die Datenverkehrs Verwaltung erstellen, und alle neuen Richtlinien werden dynamisch angewendet, ohne dass der DNS-Server bei eingehenden Abfragen neu gestartet wird.You can create thousands of DNS policies according to your traffic management requirements, and all new policies are applied dynamically - without restarting the DNS server - on incoming queries.