DNS-Richtlinien (Übersicht)DNS Policies Overview

Gilt für: Windows Server (halbjährlicher Kanal), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

In diesem Thema erfahren Sie mehr über die DNS-Richtlinie, die in Windows Server 2016 neu ist.You can use this topic to learn about DNS Policy, which is new in Windows Server 2016. Sie können die DNS-Richtlinie für die georedunte Datenverkehrs Verwaltung, intelligente DNS-Antworten basierend auf der Tageszeit, die Verwaltung eines einzelnen DNS-Servers, der für die Split - Brain-Bereitstellung konfiguriert ist, das Anwenden von Filtern auf DNS-Abfragen und vieles mehr.You can use DNS Policy for Geo-Location based traffic management, intelligent DNS responses based on the time of day, to manage a single DNS server configured for split-brain deployment, applying filters on DNS queries, and more. Die folgenden Elemente bieten weitere Details zu diesen Funktionen.The following items provide more detail about these capabilities.

  • Anwendungs Lastenausgleich.Application Load Balancing. Wenn Sie mehrere Instanzen einer Anwendung an verschiedenen Speicherorten bereitgestellt haben, können Sie die DNS-Richtlinie verwenden, um die Auslastung des Datenverkehrs zwischen den verschiedenen Anwendungs Instanzen auszugleichen und die Datenverkehrs Last für die Anwendung dynamisch zuzuweisen.When you have deployed multiple instances of an application at different locations, you can use DNS policy to balance the traffic load between the different application instances, dynamically allocating the traffic load for the application.

  • -Standortbasierte Datenverkehrs VerwaltungGeo-Location Based Traffic Management. Mithilfe der DNS-Richtlinie können primäre und sekundäre DNS-Server auf DNS-Client Abfragen basierend auf dem geografischen Standort des Clients und der Ressource, mit der der Client eine Verbindung herstellen möchte, Antworten. dabei wird dem Client die IP-Adresse der nächstgelegenen Ressource bereitgestellt.You can use DNS Policy to allow primary and secondary DNS servers to respond to DNS client queries based on the geographical location of both the client and the resource to which the client is attempting to connect, providing the client with the IP address of the closest resource.

  • Teilen Sie das Hirn-DNS.Split Brain DNS. Mit Split - Brain DNS werden DNS-Einträge in verschiedene Zonen Bereiche auf demselben DNS-Server aufgeteilt, und DNS-Clients erhalten eine Antwort, je nachdem, ob es sich bei den Clients um interne oder externe Clients handelt.With split-brain DNS, DNS records are split into different Zone Scopes on the same DNS server, and DNS clients receive a response based on whether the clients are internal or external clients. Sie können Split - Brain DNS für Active Directory integrierte Zonen oder Zonen auf eigenständigen DNS-Servern konfigurieren.You can configure split-brain DNS for Active Directory integrated zones or for zones on standalone DNS servers.

  • Filterung.Filtering. Sie können die DNS-Richtlinie konfigurieren, um Abfrage Filter basierend auf den von Ihnen angegebenen Kriterien zu erstellen.You can configure DNS policy to create query filters that are based on criteria that you supply. Mithilfe von Abfrage Filtern in der DNS-Richtlinie können Sie den DNS-Server so konfigurieren, dass er basierend auf der DNS-Abfrage und dem DNS-Client, der die DNS-Abfrage sendet, Benutzer definiert reagiertQuery filters in DNS policy allow you to configure the DNS server to respond in a custom manner based on the DNS query and DNS client that sends the DNS query.

  • Forensik.Forensics. Sie können DNS-Richtlinien verwenden, um böswillige DNS-Clients an eine nicht - vorhandene IP-Adresse umzuleiten, anstatt Sie an den Computer weiterzuleiten, den Sie zu erreichen versuchen.You can use DNS policy to redirect malicious DNS clients to a non-existent IP address instead of directing them to the computer they are trying to reach.

  • Uhrzeit der täglichen Umleitung.Time of day based redirection. Mithilfe der DNS-Richtlinie können Sie den Anwendungs Datenverkehr mithilfe von DNS-Richtlinien, die auf der Tageszeit basieren, über verschiedene geografisch verteilte Instanzen einer Anwendung verteilen.You can use DNS policy to distribute application traffic across different geographically distributed instances of an application by using DNS policies that are based on the time of day.

Neue KonzepteNew Concepts

Um Richtlinien zur Unterstützung der oben aufgeführten Szenarios zu erstellen, ist es erforderlich, dass Sie in der Lage sind, Gruppen von Datensätzen in einer Zone, Gruppen von Clients in einem Netzwerk zu identifizieren.In order to create policies to support the scenarios listed above, it is necessary to be able to identify groups of records in a zone, groups of clients on a network, among other elements. Diese Elemente werden durch die folgenden neuen DNS-Objekte dargestellt:These elements are represented by the following new DNS objects:

  • Clientsubnetz: ein clientsubnetzobjekt stellt ein IPv4-oder IPv6-Subnetz dar, von dem Abfragen an einen DNS-Server übermittelt werden.Client subnet: a client subnet object represents an IPv4 or IPv6 subnet from which queries are submitted to a DNS server. Sie können Subnetze erstellen, um später Richtlinien zu definieren, die basierend auf dem Subnetz, von dem die Anforderungen stammen, angewendet werden sollen.You can create subnets to later define policies to be applied based on what subnet the requests come from. Beispielsweise kann die Anforderung zur Auflösung eines Namens, wie z. b. www.Microsoft.com , in einem Split-Brain-DNS-Szenario mit einer internen IP-Adresse für Clients aus internen Subnetzen und eine andere IP-Adresse für Clients in externen Subnetzen beantwortet werden.For instance, in a split brain DNS scenario, the request for resolution for a name such as www.microsoft.com can be answered with an internal IP address to clients from internal subnets, and a different IP address to clients in external subnets.

  • Rekursions Bereich: Rekursions Bereiche sind eindeutige Instanzen einer Gruppe von Einstellungen, die die Rekursion auf einem DNS-Server steuern.Recursion scope: recursion scopes are unique instances of a group of settings that control recursion on a DNS server. Ein Rekursions Bereich enthält eine Liste von Weiterleitungen und gibt an, ob die Rekursion aktiviert ist.A recursion scope contains a list of forwarders and specifies whether recursion is enabled. Ein DNS-Server kann über viele Rekursions Bereiche verfügen.A DNS server can have many recursion scopes. DNS-Server Rekursions Richtlinien ermöglichen es Ihnen, einen Rekursions Bereich für eine Reihe von Abfragen auszuwählen.DNS server recursion policies allow you to choose a recursion scope for a set of queries. Wenn der DNS-Server für bestimmte Abfragen nicht autoritativ ist, können Sie mit den Rekursions Richtlinien von DNS-Servern steuern, wie diese Abfragen aufgelöst werden.If the DNS server is not authoritative for certain queries, DNS server recursion policies allow you to control how to resolve those queries. Sie können angeben, welche Weiterleitungen verwendet werden sollen und ob Rekursion verwendet werden soll.You can specify which forwarders to use and whether to use recursion.

  • Zonen Bereiche: eine DNS-Zone kann über mehrere Zonen Bereiche verfügen, wobei jeder Zonen Bereich einen eigenen Satz von DNS-Einträgen enthält.Zone scopes: a DNS zone can have multiple zone scopes, with each zone scope containing their own set of DNS records. Der gleiche Datensatz kann in mehreren Bereichen mit unterschiedlichen IP-Adressen vorhanden sein.The same record can be present in multiple scopes, with different IP addresses. Außerdem erfolgt die Zonen Übertragung auf Zonenebene.Also, zone transfers are done at the zone scope level. Dies bedeutet, dass Datensätze aus einem Zonen Bereich in einer primären Zone in denselben Zonen Bereich in einer sekundären Zone übertragen werden.That means that records from a zone scope in a primary zone will be transferred to the same zone scope in a secondary zone.

Richtlinien TypenTypes of Policy

DNS-Richtlinien werden nach Ebene und Typ aufgeteilt.DNS Policies are divided by level and type. Sie können Richtlinien für die Abfrage Auflösung verwenden, um zu definieren, wie Abfragen verarbeitet werden, sowie Zonen Übertragungs Richtlinien, um zu definieren, wie Zonenübertragungen erfolgen.You can use Query Resolution Policies to define how queries are processed, and Zone Transfer Policies to define how zone transfers occur. Sie können jeden Richtlinientyp auf Serverebene oder auf Zonenebene anwenden.You can apply Each policy type at the server level or the zone level.

Richtlinien zur Abfrage AuflösungQuery Resolution Policies

Sie können DNS-Abfrage Auflösungs Richtlinien verwenden, um anzugeben, wie eingehende Auflösungs Abfragen von einem DNS-Server behandelt werden.You can use DNS Query Resolution Policies to specify how incoming resolution queries are handled by a DNS server. Jede Richtlinie für die DNS-Abfrage Auflösung enthält die folgenden Elemente:Every DNS Query Resolution Policy contains the following elements:

FeldField BESCHREIBUNGDescription Mögliche WertePossible values
NameName RichtliniennamePolicy name Bis zu 256 Zeichen- Up to 256 characters
-Kann beliebige Zeichen enthalten, die für einen Dateinamen gültig sind.- Can contain any character valid for a file name
StateState RichtlinienstatusPolicy state -Enable (Standard)- Enable (default)
-Deaktiviert- Disabled
LevelLevel Richtlinien EbenePolicy level -Server- Server
-Zone- Zone
VerarbeitungsreihenfolgeProcessing order Nachdem eine Abfrage nach Ebene klassifiziert und angewendet wurde, ermittelt der Server die erste Richtlinie, für die die Abfrage den Kriterien entspricht, und wendet Sie auf die Abfrage an.Once a query is classified by level and applies on, the server finds the first policy for which the query matches the criteria and applies it to query -Numerischer Wert- Numeric value
-Eindeutiger Wert pro Richtlinie, die dieselbe Ebene enthält und für den Wert gilt.- Unique value per policy containing the same level and applies on value
AktionAction Aktion, die vom DNS-Server ausgeführt werden sollAction to be performed by DNS server -Allow (Standard für die Zonenebene)- Allow (default for zone level)
-DENY (Standard auf Serverebene)- Deny (default on server level)
-Ignorieren- Ignore
KriterienCriteria Richtlinien Bedingung (und/oder) und Liste der Kriterien, die erfüllt werden müssen, damit die Richtlinie angewendet wirdPolicy condition (AND/OR) and list of criterion to be met for policy to be applied -Condition-Operator (und/oder)- Condition operator (AND/OR)
-Liste der Kriterien (siehe Kriterium Tabelle unten)- List of criteria (see the criterion table below)
UmfangScope Liste der Zonen Bereiche und gewichteten Werte pro Bereich.List of zone scopes and weighted values per scope. Gewichtete Werte werden für den Lastenausgleich der Verteilung verwendet.Weighted values are used for load balancing distribution. Wenn diese Liste beispielsweise Datacenter1 mit einer Gewichtung von 3 und datacenter2 mit einer Gewichtung von 5 enthält, antwortet der Server mit einem Datensatz von datacentre1 dreimal von acht Anforderungen.For instance, if this list includes datacenter1 with a weight of 3 and datacenter2 with a weight of 5 the server will respond with a record from datacentre1 three times out of eight requests -Liste der Zonen Bereiche (nach Name) und Gewichtungen- List of zone scopes (by name) and weights

Hinweis

Richtlinien auf Server Ebene können nur die Werte Deny oder Ignore als Aktion aufweisen.Server level policies can only have the values Deny or Ignore as an action.

Das Feld DNS-Richtlinien Kriterien besteht aus zwei Elementen:The DNS policy criteria field is composed of two elements:

NameName BESCHREIBUNGDescription BeispielwerteSample values
ClientsubnetzClient Subnet Name eines vordefinierten Clientsubnetzes.Name of a predefined client subnet. Wird verwendet, um das Subnetz zu überprüfen, aus dem die Abfrage gesendet wurde.Used to verify the subnet from which the query was sent. - EQ, Spanien, Frankreich : wird zu true aufgelöst, wenn das Subnetz entweder als Spanien oder Frankreich identifiziert wird.- EQ,Spain,France - resolves to true if the subnet is identified as either Spain or France
- Ne, Kanada, Mexiko : wird zu true aufgelöst, wenn das clientsubnetz ein anderes Subnetz als Kanada und Mexiko ist.- NE,Canada,Mexico - resolves to true if the client subnet is any subnet other than Canada and Mexico
Transport ProtokollTransport Protocol Das Transport Protokoll, das in der Abfrage verwendet wird.Transport protocol used in the query. Mögliche Einträge sind UDP und TCP .Possible entries are UDP and TCP - EQ, TCP- EQ,TCP
- EQ, UDP- EQ,UDP
InternetprotokollInternet Protocol In der Abfrage verwendetes Netzwerkprotokoll.Network protocol used in the query. Mögliche Einträge sind IPv4 und IPv6 .Possible entries are IPv4 and IPv6 - EQ, IPv4- EQ,IPv4
- EQ, IPv6- EQ,IPv6
IP-Adresse der Server SchnittstelleServer Interface IP address IP-Adresse für die Netzwerkschnittstelle des eingehenden DNS-ServersIP address for the incoming DNS server network interface - EQ, 10.0.0.1- EQ,10.0.0.1
- EQ, 192.168.1.1- EQ,192.168.1.1
FQDNFQDN Der voll qualifizierte Daten Satz in der Abfrage mit der Möglichkeit, eine Platzhalter Karte zu verwenden.FQDN of record in the query, with the possibility of using a wild card - EQ, www. Configuration. com : löst nur den auf true aus, wenn die Abfrage versucht, den www.contoso.com -FQDN aufzulösen.- EQ,www.contoso.com - resolves to true only the if the query is trying to resolve the www.contoso.com FQDN
- EQ, * . contoso.com, * . Woodgrove.com -wird zu true aufgelöst, wenn die Abfrage für einen Datensatz gilt, der in contoso.comoderWoodgrove.com endet.- EQ,*.contoso.com,*.woodgrove.com - resolves to true if the query is for any record ending in contoso.comORwoodgrove.com
AbfragetypQuery Type Typ des Datensatzes, der abgefragt wird (A, SRV, txt)Type of record being queried (A, SRV, TXT) - EQ, txt, SRV -wird in "true" aufgelöst, wenn die Abfrage einen txt- oder SRV-Datensatz anfordert.- EQ,TXT,SRV - resolves to true if the query is requesting a TXT OR SRV record
- EQ, MX : wird zu true aufgelöst, wenn die Abfrage einen MX-Datensatz anfordert.- EQ,MX - resolves to true if the query is requesting an MX record
TageszeitTime of Day Tageszeit, zu der die Abfrage empfangen wirdTime of day the query is received - EQ, 10:00-12:00, 22:00-23:00 -wird in "true" aufgelöst, wenn die Abfrage zwischen 10 Uhr und 12 Uhr mittags oder zwischen 10PM und 11Uhr empfangen wird.- EQ,10:00-12:00,22:00-23:00 - resolves to true if the query is received between 10 AM and noon, OR between 10PM and 11PM

Mithilfe der obigen Tabelle als Ausgangspunkt könnte die folgende Tabelle verwendet werden, um ein Kriterium zu definieren, das zum Abgleichen von Abfragen für beliebige Daten Satz Typen verwendet wird, aber SRV-Einträge in der contoso.com-Domäne, die von einem Client im 10.0.0.0/24-Subnetz über TCP zwischen 8 und 10 Uhr über die Schnittstelle 10.0.0.3 stammen:Using the table above as a starting point, the table below could be used to define a criterion that is used to match queries for any type of records but SRV records in the contoso.com domain coming from a client in the 10.0.0.0/24 subnet via TCP between 8 and 10 PM through interface 10.0.0.3:

NameName WertValue
ClientsubnetzClient Subnet EQ, 10.0.0.0/24EQ,10.0.0.0/24
TransportprotokollTransport Protocol EQ, TCPEQ,TCP
IP-Adresse der Server SchnittstelleServer Interface IP address EQ, 10.0.0.3EQ,10.0.0.3
FQDNFQDN EQ, *. ".EQ,*.contoso.com
AbfragetypQuery Type NE, SRVNE,SRV
TageszeitTime of Day EQ, 20:00-22:00EQ,20:00-22:00

Sie können mehrere Richtlinien für die Abfrage Auflösung auf derselben Ebene erstellen, sofern Sie einen anderen Wert für die Verarbeitungsreihenfolge aufweisen.You can create multiple query resolution policies of the same level, as long as they have a different value for the processing order. Wenn mehrere Richtlinien verfügbar sind, verarbeitet der DNS-Server eingehende Abfragen wie folgt:When multiple policies are available, the DNS server processes incoming queries in the following manner:

DNS-Richtlinien Verarbeitung

Rekursions RichtlinienRecursion Policies

Rekursions Richtlinien sind eine besondere Art von Richtlinien auf Serverebene.Recursion policies are a special type of server level policies. Rekursions Richtlinien steuern, wie der DNS-Server Rekursion für eine Abfrage ausführt.Recursion policies control how the DNS server performs recursion for a query. Rekursions Richtlinien gelten nur, wenn die Abfrage Verarbeitung den Rekursions Pfad erreicht.Recursion policies apply only when query processing reaches the recursion path. Sie können für eine Reihe von Abfragen den Wert Deny oder IGNORE for Rekursion auswählen.You can choose a value of DENY or IGNORE for recursion for a set of queries. Alternativ können Sie eine Gruppe von Weiterleitungen für eine Reihe von Abfragen auswählen.Alternatively, you can choose a set of forwarders for a set of queries.

Mithilfe von Rekursions Richtlinien können Sie eine Split-Brain-DNS-Konfiguration implementieren.You can use recursion policies to implement a Split-brain DNS configuration. In dieser Konfiguration führt der DNS-Server eine Rekursion für eine Gruppe von Clients für eine Abfrage aus, während der DNS-Server keine Rekursion für andere Clients für diese Abfrage ausführt.In this configuration, the DNS server performs recursion for a set of clients for a query, while the DNS server does not perform recursion for other clients for that query.

Rekursions Richtlinien enthalten dieselben Elemente wie eine reguläre Richtlinie zur DNS-Abfrage Auflösung, zusammen mit den Elementen in der folgenden Tabelle:Recursion policies contains the same elements a regular DNS query resolution policy contains, along with the elements in the table below:

NameName BESCHREIBUNGDescription
Auf Rekursion anwendenApply on recursion Gibt an, dass diese Richtlinie nur für die Rekursion verwendet werden soll.Specifies that this policy should only be used for recursion.
Rekursions BereichRecursion Scope Der Name des Rekursions Bereichs.Name of the recursion scope.

Hinweis

Rekursions Richtlinien können nur auf Serverebene erstellt werden.Recursion policies can only be created at the server level.

Zonen Übertragungs RichtlinienZone Transfer Policies

Zonen Übertragungs Richtlinien steuern, ob eine Zonen Übertragung durch Ihren DNS-Server zulässig ist oder nicht.Zone transfer policies control whether a zone transfer is allowed or not by your DNS server. Sie können Richtlinien für die Zonen Übertragung auf Server-oder Zonenebene erstellen.You can create policies for zone transfer at either the server level or the zone level. Richtlinien auf Server Ebene gelten für jede Zonen Übertragungs Abfrage, die auf dem DNS-Server auftritt.Server level policies apply on every zone transfer query that occurs on the DNS server. Richtlinien auf Zonenebene gelten nur für die Abfragen in einer auf dem DNS-Server gehosteten Zone.Zone level policies apply only on the queries on a zone hosted on the DNS server. Die häufigste Verwendung von Richtlinien auf Zonenebene besteht darin, blockierte oder sichere Listen zu implementieren.The most common use for zone level policies is to implement blocked or safe lists.

Hinweis

Zonen Übertragungs Richtlinien können nur Deny oder IGNORE als Aktionen verwenden.Zone transfer policies can only use DENY or IGNORE as actions.

Mithilfe der unten stehenden Zonen Übertragungs Richtlinie auf Serverebene können Sie eine Zonen Übertragung für die contoso.com-Domäne aus einem bestimmten Subnetz verweigern:You can use the server level zone transfer policy below to deny a zone transfer for the contoso.com domain from a given subnet:

Add-DnsServerZoneTransferPolicy -Name DenyTransferOfContosoToFabrikam -Zone contoso.com -Action DENY -ClientSubnet "EQ,192.168.1.0/24"

Sie können mehrere Zonen Übertragungs Richtlinien auf derselben Ebene erstellen, sofern Sie einen anderen Wert für die Verarbeitungsreihenfolge aufweisen.You can create multiple zone transfer policies of the same level, as long as they have a different value for the processing order. Wenn mehrere Richtlinien verfügbar sind, verarbeitet der DNS-Server eingehende Abfragen wie folgt:When multiple policies are available, the DNS server processes incoming queries in the following manner:

DNS-Prozess für mehrere Zonen Übertragungs Richtlinien

DNS-Richtlinien verwaltenManaging DNS Policies

Sie können DNS-Richtlinien mithilfe von PowerShell erstellen und verwalten.You can create and manage DNS Policies by using PowerShell. In den folgenden Beispielen werden verschiedene Beispielszenarien durchlaufen, die Sie über DNS-Richtlinien konfigurieren können:The examples below go through different sample scenarios that you can configure through DNS Policies:

DatenverkehrsmanagementTraffic Management

Abhängig vom Speicherort des DNS-Clients können Sie den Datenverkehr basierend auf einem FQDN an verschiedene Server weiterleiten.You can direct traffic based on an FQDN to different servers depending on the location of the DNS client. Das folgende Beispiel zeigt, wie Richtlinien für die Datenverkehrs Verwaltung erstellt werden, um die Kunden von einem bestimmten Subnetz an ein nordamerikanisches Rechenzentrum und von einem anderen Subnetz zu einem europäischen Rechenzentrum zu leiten.The example below shows how to create traffic management policies to direct the customers from a certain subnet to a North American datacenter and from another subnet to a European datacenter.

Add-DnsServerClientSubnet -Name "NorthAmericaSubnet" -IPv4Subnet "172.21.33.0/24"
Add-DnsServerClientSubnet -Name "EuropeSubnet" -IPv4Subnet "172.17.44.0/24"
Add-DnsServerZoneScope -ZoneName "Contoso.com" -Name "NorthAmericaZoneScope"
Add-DnsServerZoneScope -ZoneName "Contoso.com" -Name "EuropeZoneScope"
Add-DnsServerResourceRecord -ZoneName "Contoso.com" -A -Name "www" -IPv4Address "172.17.97.97" -ZoneScope "EuropeZoneScope"
Add-DnsServerResourceRecord -ZoneName "Contoso.com" -A -Name "www" -IPv4Address "172.21.21.21" -ZoneScope "NorthAmericaZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "NorthAmericaPolicy" -Action ALLOW -ClientSubnet "eq,NorthAmericaSubnet" -ZoneScope "NorthAmericaZoneScope,1" -ZoneName "Contoso.com"
Add-DnsServerQueryResolutionPolicy -Name "EuropePolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "EuropeZoneScope,1" -ZoneName contoso.com

In den ersten beiden Zeilen des Skripts werden clientsubnetzobjekte für Nordamerika und Europa erstellt.The first two lines of the script create client subnet objects for North America and Europe. Die zwei Zeilen nach dem Erstellen einen Zonen Bereich innerhalb der contoso.com-Domäne, einen für jede Region.The two lines after that create a zone scope within the contoso.com domain, one for each region. In den beiden folgenden Zeilen wird ein Datensatz in jeder Zone erstellt, der ww.contoso.com einer anderen IP-Adresse zuordnet, eine für Europa, eine andere für die Nordamerika.The two lines after that create a record in each zone that associates ww.contoso.com to different IP address, one for Europe, another one for North America. Schließlich erstellen die letzten Zeilen des Skripts zwei DNS-Abfrage Auflösungs Richtlinien, eine, die auf das Nordamerika Subnetz angewendet wird, eine andere auf das Subnetz "Europa".Finally, the last lines of the script create two DNS Query Resolution Policies, one to be applied to the North America subnet, another to the Europe subnet.

Blockieren von Abfragen für eine DomäneBlock queries for a domain

Sie können eine DNS-Abfrage Auflösungs Richtlinie zum Blockieren von Abfragen in einer Domäne verwenden.You can use a DNS Query Resolution Policy to block queries to a domain. Im folgenden Beispiel werden alle Abfragen für treyresearch.net blockiert:The example below blocks all queries to treyresearch.net:

Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"

Blockieren von Abfragen aus einem SubnetzBlock queries from a subnet

Sie können auch Abfragen blockieren, die von einem bestimmten Subnetz stammen.You can also block queries coming from a specific subnet. Mit dem folgenden Skript wird ein Subnetz für 172.0.33.0/24 erstellt, und anschließend wird eine Richtlinie erstellt, um alle Abfragen zu ignorieren, die von diesem Subnetz stammen:The script below creates a subnet for 172.0.33.0/24 and then creates a policy to ignore all queries coming from that subnet:

Add-DnsServerClientSubnet -Name "MaliciousSubnet06" -IPv4Subnet 172.0.33.0/24
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicyMalicious06" -Action IGNORE -ClientSubnet  "EQ,MaliciousSubnet06"

Rekursion für interne Clients zulassenAllow recursion for internal clients

Sie können die Rekursion mithilfe einer DNS-Abfrage Auflösungs Richtlinie steuern.You can control recursion by using a DNS Query Resolution Policy. Das folgende Beispiel kann verwendet werden, um die Rekursion für interne Clients zu aktivieren, während Sie in einem Split Brain-Szenario für externe Clients deaktiviert wird.The sample below can be used to enable recursion for internal clients, while disabling it for external clients in a split brain scenario.

Set-DnsServerRecursionScope -Name . -EnableRecursion $False
Add-DnsServerRecursionScope -Name "InternalClients" -EnableRecursion $True
Add-DnsServerQueryResolutionPolicy -Name "SplitBrainPolicy" -Action ALLOW -ApplyOnRecursion -RecursionScope "InternalClients" -ServerInterfaceIP  "EQ,10.0.0.34"

Die erste Zeile im Skript ändert den standardmäßigen Rekursions Bereich, der einfach als "." bezeichnet wird. (Punkt), um die Rekursion zu deaktivieren.The first line in the script changes the default recursion scope, simply named as "." (dot) to disable recursion. Die zweite Zeile erstellt einen Rekursions Bereich namens internalclients mit aktivierter Rekursion.The second line creates a recursion scope named InternalClients with recursion enabled. Und in der dritten Zeile wird eine Richtlinie erstellt, mit der der neu erstellte Rekursions Bereich auf alle Abfragen angewendet wird, die über eine Server Schnittstelle mit 10.0.0.34 als IP-Adresse übertragen werden.And the third line creates a policy to apply the newly create recursion scope to any queries coming in through a server interface that has 10.0.0.34 as an IP address.

Erstellen einer Zonen Übertragungs Richtlinie auf ServerebeneCreate a server level zone transfer policy

Mithilfe von DNS-Zonen Übertragungs Richtlinien können Sie die Zonen Übertragung in differenziererer Form steuern.You can control zone transfer in a more granular form by using DNS Zone Transfer policies. Das folgende Beispielskript kann verwendet werden, um Zonenübertragungen für einen beliebigen Server in einem bestimmten Subnetz zuzulassen:The sample script below can be used to allow zone transfers for any server on a given subnet:

Add-DnsServerClientSubnet -Name "AllowedSubnet" -IPv4Subnet 172.21.33.0/24
Add-DnsServerZoneTransferPolicy -Name "NorthAmericaPolicy" -Action IGNORE -ClientSubnet "ne,AllowedSubnet"

In der ersten Zeile des Skripts wird ein Subnetzobjekt mit dem Namen "" und dem IP-Block "172.21.33.0/24" erstellt.The first line in the script creates a subnet object named AllowedSubnet with the IP block 172.21.33.0/24. In der zweiten Zeile wird eine Zonen Übertragungs Richtlinie erstellt, um Zonenübertragungen an einen beliebigen DNS-Server im zuvor erstellten Subnetz zuzulassen.The second line creates a zone transfer policy to allow zone transfers to any DNS server on the subnet previously created.

Zonen Übertragungs Richtlinie auf Zonenebene erstellenCreate a zone level zone transfer policy

Sie können auch Zonen Übertragungs Richtlinien auf Zonenebene erstellen.You can also create zone level zone transfer policies. Im folgenden Beispiel werden alle Anforderungen an eine Zonen Übertragung für contoso.com ignoriert, die von einer Server Schnittstelle mit der IP-Adresse 10.0.0.33 stammen:The example below ignores any request for a zone transfer for contoso.com coming in from a server interface that has an IP address of 10.0.0.33:

Add-DnsServerZoneTransferPolicy -Name "InternalTransfers" -Action IGNORE -ServerInterfaceIP "eq,10.0.0.33" -PassThru -ZoneName "contoso.com"

DNS-Richtlinien SzenarienDNS Policy Scenarios

Informationen zum Verwenden der DNS-Richtlinie für bestimmte Szenarien finden Sie in den folgenden Themen in diesem Handbuch.For information on how to use DNS policy for specific scenarios, see the following topics in this guide.

Verwenden der DNS-Richtlinie auf schreibgeschützten Domänen ControllernUsing DNS Policy on Read-Only Domain Controllers

Die DNS-Richtlinie ist mit schreibgeschützten Domänen Controllern kompatibel.DNS Policy is compatible with Read-Only Domain Controllers. Beachten Sie, dass ein Neustart des DNS-Server Dienstanbieter erforderlich ist, damit neue DNS-Richtlinien auf schreibgeschützten Domänen Controllern geladen werden.Do note that a restart of the DNS Server service is required for new DNS Policies to be loaded on Read-Only Domain Controllers. Dies ist auf beschreibbaren Domänen Controllern nicht erforderlich.This is not necessary on writable domain controllers.