Neues in DNS-Server unter Windows ServerWhat's New in DNS Server in Windows Server

Gilt für: Windows Server (halbjährlicher Kanal), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

In diesem Thema werden die Domain Name System (DNS)-Serverfunktionen beschrieben, die in Windows Server 2016 neu oder geändert wurden.This topic describes the Domain Name System (DNS) server functionality that is new or changed in Windows Server 2016.

In Windows Server 2016 bietet der DNS-Server eine verbesserte Unterstützung in den folgenden Bereichen.In Windows Server 2016, DNS Server offers enhanced support in the following areas.

FunktionalitätFunctionality Neu oder verbessertNew or Improved BESCHREIBUNGDescription
DNS-RichtlinienDNS Policies NeuNew Sie können DNS-Richtlinien konfigurieren, um anzugeben, wie ein DNS-Server auf DNS-Abfragen antwortet.You can configure DNS policies to specify how a DNS server responds to DNS queries. DNS-Antworten können auf der Client-IP-Adresse (Speicherort), der Tageszeit und mehreren anderen Parametern basieren.DNS responses can be based on client IP address (location), time of the day, and several other parameters. DNS-Richtlinien ermöglichen standortabhängige DNS, Datenverkehrs Verwaltung, Lastenausgleich, Split-Brain-DNS und andere Szenarien.DNS policies enable location-aware DNS, traffic management, load balancing, split-brain DNS, and other scenarios.
Antwortraten Begrenzung (RRL)Response Rate Limiting (RRL) NeuNew Sie können die Reaktionsraten Begrenzung für Ihre DNS-Server aktivieren.You can enable response rate limiting on your DNS servers. Auf diese Weise können Sie verhindern, dass böswillige Systeme, die Ihre DNS-Server verwenden, einen Denial-of-Service-Angriff auf einen DNS-Client initiieren.By doing this, you avoid the possibility of malicious systems using your DNS servers to initiate a denial of service attack on a DNS client.
DNS-basierte Authentifizierung benannter Entitäten (Dane)DNS-based Authentication of Named Entities (DANE) NeuNew Sie können die Datensätze von TLSA (Transport Layer Security Authentication) verwenden, um Informationen für DNS-Clients bereitzustellen, die angeben, von welcher Zertifizierungsstelle ein Zertifikat für Ihren Domänen Namen erwartet werden soll.You can use TLSA (Transport Layer Security Authentication) records to provide information to DNS clients that state what CA they should expect a certificate from for your domain name. Dadurch werden man-in-the-Middle-Angriffe verhindert, bei denen jemand den DNS-Cache beschädigen könnte, um auf seine eigene Website zu verweisen, und ein Zertifikat bereitstellen, das von einer anderen Zertifizierungsstelle ausgestellt wurde.This prevents man-in-the-middle attacks where someone might corrupt the DNS cache to point to their own website, and provide a certificate they issued from a different CA.
Unbekannte Daten Satz UnterstützungUnknown record support NeuNew Sie können Datensätze hinzufügen, die vom Windows-DNS-Server nicht explizit unterstützt werden. verwenden Sie dazu die Funktion für unbekannte EinträgeYou can add records which are not explicitly supported by the Windows DNS server using the unknown record functionality.
IPv6-Stamm HinweiseIPv6 root hints NeuNew Mithilfe der systemeigenen IPv6-Stamm Hinweis Unterstützung können Sie die Internet Namensauflösung mithilfe der IPv6-Stamm Server durchführen.You can use the native IPV6 root hints support to perform internet name resolution using the IPV6 root servers.
Windows PowerShell-UnterstützungWindows PowerShell Support Verbessert:Improved Für den DNS-Server sind neue Windows PowerShell-Cmdlets verfügbar.New Windows PowerShell cmdlets are available for DNS Server.

DNS-RichtlinienDNS Policies

Sie können die DNS-Richtlinie für die georedunte Datenverkehrs Verwaltung, intelligente DNS-Antworten basierend auf der Tageszeit, die Verwaltung eines einzelnen DNS-Servers, der für die Split - Brain-Bereitstellung konfiguriert ist, das Anwenden von Filtern auf DNS-Abfragen und vieles mehr.You can use DNS Policy for Geo-Location based traffic management, intelligent DNS responses based on the time of day, to manage a single DNS server configured for split-brain deployment, applying filters on DNS queries, and more. Die folgenden Elemente bieten weitere Details zu diesen Funktionen.The following items provide more detail about these capabilities.

  • Anwendungs Lastenausgleich.Application Load Balancing. Wenn Sie mehrere Instanzen einer Anwendung an verschiedenen Speicherorten bereitgestellt haben, können Sie die DNS-Richtlinie verwenden, um die Auslastung des Datenverkehrs zwischen den verschiedenen Anwendungs Instanzen auszugleichen und die Datenverkehrs Last für die Anwendung dynamisch zuzuweisen.When you have deployed multiple instances of an application at different locations, you can use DNS policy to balance the traffic load between the different application instances, dynamically allocating the traffic load for the application.

  • -Standortbasierte Datenverkehrs VerwaltungGeo-Location Based Traffic Management. Mithilfe der DNS-Richtlinie können primäre und sekundäre DNS-Server auf DNS-Client Abfragen basierend auf dem geografischen Standort des Clients und der Ressource, mit der der Client eine Verbindung herstellen möchte, Antworten. dabei wird dem Client die IP-Adresse der nächstgelegenen Ressource bereitgestellt.You can use DNS Policy to allow primary and secondary DNS servers to respond to DNS client queries based on the geographical location of both the client and the resource to which the client is attempting to connect, providing the client with the IP address of the closest resource.

  • Teilen Sie das Hirn-DNS.Split Brain DNS. Mit Split - Brain DNS werden DNS-Einträge in verschiedene Zonen Bereiche auf demselben DNS-Server aufgeteilt, und DNS-Clients erhalten eine Antwort, je nachdem, ob es sich bei den Clients um interne oder externe Clients handelt.With split-brain DNS, DNS records are split into different Zone Scopes on the same DNS server, and DNS clients receive a response based on whether the clients are internal or external clients. Sie können Split - Brain DNS für Active Directory integrierte Zonen oder Zonen auf eigenständigen DNS-Servern konfigurieren.You can configure split-brain DNS for Active Directory integrated zones or for zones on standalone DNS servers.

  • Filterung.Filtering. Sie können die DNS-Richtlinie konfigurieren, um Abfrage Filter basierend auf den von Ihnen angegebenen Kriterien zu erstellen.You can configure DNS policy to create query filters that are based on criteria that you supply. Mithilfe von Abfrage Filtern in der DNS-Richtlinie können Sie den DNS-Server so konfigurieren, dass er basierend auf der DNS-Abfrage und dem DNS-Client, der die DNS-Abfrage sendet, Benutzer definiert reagiertQuery filters in DNS policy allow you to configure the DNS server to respond in a custom manner based on the DNS query and DNS client that sends the DNS query.

  • Forensik.Forensics. Sie können DNS-Richtlinien verwenden, um böswillige DNS-Clients an eine nicht - vorhandene IP-Adresse umzuleiten, anstatt Sie an den Computer weiterzuleiten, den Sie zu erreichen versuchen.You can use DNS policy to redirect malicious DNS clients to a non-existent IP address instead of directing them to the computer they are trying to reach.

  • Uhrzeit der täglichen Umleitung.Time of day based redirection. Mithilfe der DNS-Richtlinie können Sie den Anwendungs Datenverkehr mithilfe von DNS-Richtlinien, die auf der Tageszeit basieren, über verschiedene geografisch verteilte Instanzen einer Anwendung verteilen.You can use DNS policy to distribute application traffic across different geographically distributed instances of an application by using DNS policies that are based on the time of day.

DNS-Richtlinien können auch für Active Directory integrierte DNS-Zonen verwendet werden.You can also use DNS policies for Active Directory integrated DNS zones.

Weitere Informationen finden Sie im Leitfaden zum DNS-Richtlinien Szenario.For more information, see the DNS Policy Scenario Guide.

Beschränkung der Antwort RateResponse Rate Limiting

Sie können die RRL-Einstellungen konfigurieren, um zu steuern, wie auf Anforderungen an einen DNS-Client reagiert werden soll, wenn der Server mehrere Anforderungen an denselben Client empfängt.You can configure RRL settings to control how to respond to requests to a DNS client when your server receives several requests targeting the same client. Auf diese Weise können Sie verhindern, dass jemand einen Denial-of-Service-Angriff (DOS) mithilfe Ihrer DNS-Server sendet.By doing this, you can prevent someone from sending a Denial of Service (Dos) attack using your DNS servers. Beispielsweise kann ein bot-Netzanforderungen mithilfe der IP-Adresse eines dritten Computers als Anforderer an den DNS-Server senden.For instance, a bot net can send requests to your DNS server using the IP address of a third computer as the requestor. Ohne RRL können Ihre DNS-Server auf alle Anforderungen reagieren und den dritten Computer überfluten.Without RRL, your DNS servers might respond to all the requests, flooding the third computer. Wenn Sie RRL verwenden, können Sie die folgenden Einstellungen konfigurieren:When you use RRL, you can configure the following settings:

  • Antworten pro Sekunde.Responses per second. Dies ist die maximale Häufigkeit, mit der die gleiche Antwort einem Client innerhalb einer Sekunde zugewiesen wird.This is the maximum number of times the same response will be given to a client within one second.

  • Fehler pro Sekunde.Errors per second. Dies ist die maximale Häufigkeit, mit der eine Fehler Antwort innerhalb einer Sekunde an denselben Client gesendet wird.This is the maximum number of times an error response will be sent to the same client within one second.

  • Fenster.Window. Dies ist die Anzahl von Sekunden, für die Antworten auf einen Client angehalten werden, wenn zu viele Anforderungen gestellt werden.This is the number of seconds for which responses to a client will be suspended if too many requests are made.

  • Die Rate der Lecks.Leak rate. Dies ist die Häufigkeit, mit der der DNS-Server während der Zeit, in der Antworten angehalten werden, auf eine Abfrage antwortet.This is how frequently the DNS server will respond to a query during the time responses are suspended. Wenn beispielsweise der Server 10 Sekunden lang Antworten an einen Client hält und der Wert für die Dichte 5 beträgt, antwortet der Server immer noch auf eine Abfrage für alle fünf gesendeten Abfragen.For instance, if the server suspends responses to a client for 10 seconds, and the leak rate is 5, the server will still respond to one query for every 5 queries sent. Dies ermöglicht es den legitimen Clients, auch dann Antworten zu erhalten, wenn der DNS-Server die Antwortraten Begrenzung für das Subnetz oder den FQDN anwendet.This allows the legitimate clients to get responses even when the DNS server is applying response rate limiting on their subnet or FQDN.

  • TC-Rate.TC rate. Hiermit wird der Client angewiesen, eine Verbindung mit TCP herzustellen, wenn Antworten auf den Client angehalten werden.This is used to tell the client to try connecting with TCP when responses to the client are suspended. Wenn die TC-Rate beispielsweise 3 beträgt und der Server Antworten an einen bestimmten Client hält, gibt der Server eine Anforderung für eine TCP-Verbindung für jede 3 empfangene Abfrage aus.For instance, if the TC rate is 3, and the server suspends responses to a given client, the server will issue a request for TCP connection for every 3 queries received. Stellen Sie sicher, dass der Wert für die TC-Rate niedriger ist als die Verlustrate, um dem Client die Möglichkeit zu geben, über TCP eine Verbindung herzustellen, bevor Antworten wieder hergestellt werden.Make sure the value for TC rate is lower than the leak rate, to give the client the option to connect via TCP before leaking responses.

  • Maximale Antworten.Maximum responses. Dies ist die maximale Anzahl von Antworten, die der Server für einen Client ausgibt, während Antworten angehalten werden.This is the maximum number of responses the server will issue to a client while responses are suspended.

  • Weiß Listen Domänen.White list domains. Dies ist eine Liste der Domänen, die von den RRL-Einstellungen ausgeschlossen werden sollen.This is a list of domains to be excluded from RRL settings.

  • Die Subnetze der weißen Liste.White list subnets. Dies ist eine Liste von Subnetzen, die von den RRL-Einstellungen ausgeschlossen werden sollen.This is a list of subnets to be excluded from RRL settings.

  • White List-Server Schnittstellen.White list server interfaces. Dies ist eine Liste von DNS-Server Schnittstellen, die von den RRL-Einstellungen ausgeschlossen werden sollen.This is a list of DNS server interfaces to be excluded from RRL settings.

Unterstützung von DaneDANE support

Sie können die DCS ( -Unterstützung RFC 6394 und 6698 verwenden ) , um für Ihre DNS-Clients anzugeben, von welcher Zertifizierungsstelle die Zertifikate für Domänen Namen, die auf Ihrem DNS-Server gehostet werden, ausgestellt werden sollenYou can use DANE support (RFC 6394 and 6698) to specify to your DNS clients what CA they should expect certificates to be issued from for domains names hosted in your DNS server. Dies verhindert eine Art von man-in-the-Middle-Angriff, bei dem jemand einen DNS-Cache beschädigen und einen DNS-Namen auf seine eigene IP-Adresse verweisen kann.This prevents a form of man-in-the-middle attack where someone is able to corrupt a DNS cache and point a DNS name to their own IP address.

Stellen Sie sich beispielsweise vor, dass Sie eine sichere Website hosten, die SSL unter www.contoso.com verwendet, indem Sie ein Zertifikat von einer bekannten Autorität namens CA1 verwenden.For instance, imagine you host a secure website that uses SSL at www.contoso.com by using a certificate from a well-known authority named CA1. Möglicherweise kann ein Benutzer ein Zertifikat für www.contoso.com von einer anderen, nicht so bekannten Zertifizierungsstelle mit dem Namen "Ca2" erhalten.Someone might still be able to get a certificate for www.contoso.com from a different, not-so-well-known, certificate authority named CA2. Anschließend kann die Entität, die die Fake www.contoso.com-Website gehostet, den DNS-Cache eines Clients oder Servers beschädigen, um www.contoto.com auf die gefälschte Website zu verweisen.Then, the entity hosting the fake www.contoso.com website might be able to corrupt the DNS cache of a client or server to point www.contoto.com to their fake site. Dem Endbenutzer wird ein Zertifikat von "Ca2" angezeigt, und er kann es einfach bestätigen und eine Verbindung mit dem gefälschten Standort herstellen.The end user will be presented a certificate from CA2, and may simply acknowledge it and connect to the fake site. Bei der Verwendung von "Dane" würde der Client eine Anforderung an den DNS-Server für contoso.com stellen, die den TLSA-Datensatz fragt und erfährt, dass das Zertifikat für www.contoso.com von CA1 ausgegeben wurde.With DANE, the client would make a request to the DNS server for contoso.com asking for the TLSA record and learn that the certificate for www.contoso.com was issues by CA1. Wenn ein Zertifikat von einer anderen Zertifizierungsstelle angezeigt wird, wird die Verbindung abgebrochen.If presented with a certificate from another CA, the connection is aborted.

Unbekannte Daten Satz UnterstützungUnknown record support

Ein "Unbekannter Datensatz" ist ein RR, dessen rdata-Format dem DNS-Server nicht bekannt ist.An "Unknown Record" is an RR whose RDATA format is not known to the DNS server. Die neu hinzugefügte Unterstützung für die Typen "Unbekannter Datensatz" (RFC 3597) bedeutet, dass Sie die nicht unterstützten Daten Satz Typen in den Windows DNS-Server Zonen im Binärformat "Binärformat" hinzufügen können.The newly added support for unknown record (RFC 3597) types means that you can add the unsupported record types into the Windows DNS server zones in the binary on-wire format. Der Windows Caching-Konflikt Löser ist bereits in der Lage, unbekannte Daten Satz Typen zu verarbeiten.The windows caching resolver already has the ability to process unknown record types. Der Windows-DNS-Server führt keine Daten Satz spezifische Verarbeitung für unbekannte Datensätze aus, sendet Sie jedoch zurück in Antworten, wenn Abfragen für Sie empfangen werden.Windows DNS server will not do any record specific processing for the unknown records, but will send it back in responses if queries are received for it.

IPv6-Stamm HinweiseIPv6 root hints

Die IPv6-Stamm Hinweise, wie Sie von IANA veröffentlicht wurden, wurden dem Windows-DNS-Server hinzugefügt.The IPV6 root hints, as published by IANA, have been added to the windows DNS server. Die Internet Namen Abfragen können jetzt IPv6-Stamm Server zum Durchführen von namens Auflösungen verwenden.The internet name queries can now use IPv6 root servers for performing name resolutions.

Windows PowerShell-UnterstützungWindows PowerShell support

Die folgenden neuen Windows PowerShell-Cmdlets und-Parameter werden in Windows Server 2016 eingeführt.The following new Windows PowerShell cmdlets and parameters are introduced in Windows Server 2016.

  • Add-dnsserverrecursionscope.Add-DnsServerRecursionScope. Mit diesem Cmdlet wird ein neuer Rekursions Bereich auf dem DNS-Server erstellt.This cmdlet creates a new recursion scope on the DNS server. Rekursions Bereiche werden von DNS-Richtlinien verwendet, um eine Liste der Weiterleitungen anzugeben, die in einer DNS-Abfrage verwendet werden sollen.Recursion scopes are used by DNS policies to specify a list of forwarders to be used in a DNS query.

  • Remove-dnsserverrecursionscope.Remove-DnsServerRecursionScope. Mit diesem Cmdlet werden vorhandene Rekursions Bereiche entfernt.This cmdlet removes existing recursion scopes.

  • Set-dnsserverrecursionscope.Set-DnsServerRecursionScope. Mit diesem Cmdlet werden die Einstellungen eines vorhandenen Rekursions Bereichs geändert.This cmdlet changes the settings of an existing recursion scope.

  • Get-dnsserverrecursionscope.Get-DnsServerRecursionScope. Mit diesem Cmdlet werden Informationen zu vorhandenen Rekursions Bereichen abgerufen.This cmdlet retrieves information about existing recursion scopes.

  • Add-dnsserverclientsubnet.Add-DnsServerClientSubnet. Dieses Cmdlet erstellt ein neues DNS-clientsubnetz.This cmdlet creates a new DNS client subnet. Subnetze werden von DNS-Richtlinien verwendet, um zu ermitteln, wo sich ein DNS-Client befindet.Subnets are used by DNS policies to identify where a DNS client is located.

  • Remove-dnsserverclientsubnet.Remove-DnsServerClientSubnet. Mit diesem Cmdlet werden vorhandene DNS-Clientsubnetze entfernt.This cmdlet removes existing DNS client subnets.

  • Set-dnsserverclientsubnet.Set-DnsServerClientSubnet. Mit diesem Cmdlet werden die Einstellungen eines vorhandenen DNS-Clientsubnetzes geändert.This cmdlet changes the settings of an existing DNS client subnet.

  • Get-dnsserverclientsubnet.Get-DnsServerClientSubnet. Mit diesem Cmdlet werden Informationen über vorhandene DNS-Clientsubnetze abgerufen.This cmdlet retrieves information about existing DNS client subnets.

  • Add-dnsserverqueryresolutionpolicy.Add-DnsServerQueryResolutionPolicy. Dieses Cmdlet erstellt eine neue Richtlinie für die DNS-Abfrage Auflösung.This cmdlet creates a new DNS query resolution policy. DNS-Abfrage Auflösungs Richtlinien werden verwendet, um anzugeben, wie oder ob eine Abfrage auf Grundlage unterschiedlicher Kriterien antwortet.DNS query resolution policies are used to specify how, or if, a query is responded to, based on different criteria.

  • Remove-dnsserverqueryresolutionpolicy.Remove-DnsServerQueryResolutionPolicy. Mit diesem Cmdlet werden vorhandene DNS-Richtlinien entfernt.This cmdlet removes existing DNS policies.

  • Set-dnsserverqueryresolutionpolicy.Set-DnsServerQueryResolutionPolicy. Mit diesem Cmdlet werden die Einstellungen einer vorhandenen DNS-Richtlinie geändert.This cmdlet changes the settings of an existing DNS policy.

  • Get-dnsserverqueryresolutionpolicy.Get-DnsServerQueryResolutionPolicy. Dieses Cmdlet ruft Informationen über vorhandene DNS-Richtlinien ab.This cmdlet retrieves information about existing DNS policies.

  • Enable-dnsserverpolicy.Enable-DnsServerPolicy. Mit diesem Cmdlet werden vorhandene DNS-Richtlinien aktiviert.This cmdlet enables existing DNS policies.

  • Deaktivieren Sie-dnsserverpolicy.Disable-DnsServerPolicy. Mit diesem Cmdlet werden vorhandene DNS-Richtlinien deaktiviert.This cmdlet disables existing DNS policies.

  • Add-dnsserverzonetransferpolicy.Add-DnsServerZoneTransferPolicy. Mit diesem Cmdlet wird eine neue Richtlinie für die DNS-Server Zonen Übertragung erstellt.This cmdlet creates a new DNS server zone transfer policy. DNS-Zonen Übertragungs Richtlinien geben an, ob eine Zonen Übertragung basierend auf unterschiedlichen Kriterien verweigert oder ignoriert werden soll.DNS zone transfer policies specify whether to deny or ignore a zone transfer based on different criteria.

  • Remove-dnsserverzonetransferpolicy.Remove-DnsServerZoneTransferPolicy. Mit diesem Cmdlet werden vorhandene Richtlinien für die DNS-Server Zonen Übertragung entfernt.This cmdlet removes existing DNS server zone transfer policies.

  • Set-dnsserverzonetransferpolicy.Set-DnsServerZoneTransferPolicy. Mit diesem Cmdlet werden die Einstellungen einer vorhandenen Richtlinie für die Zonen Übertragung von DNS-Servern geändert.This cmdlet changes settings of an existing DNS server zone transfer policy.

  • Get-dnsserverresponse Server.Get-DnsServerResponseRateLimiting. Mit diesem Cmdlet werden RRL-Einstellungen abgerufen.This cmdlet retrieves RRL settings.

  • Set-dnsserverresponse Server.Set-DnsServerResponseRateLimiting. Dieses Cmdlet ändert RRL-Aufstellungen.This cmdlet changes RRL settigns.

  • Add-dnsserverresponse seratelimitingexceptionlist.Add-DnsServerResponseRateLimitingExceptionlist. Dieses Cmdlet erstellt eine RRL-Ausnahmeliste auf dem DNS-Server.This cmdlet creates an RRL exception list on the DNS server.

  • Get-dnsserverresponseratelimitingexceptionlist.Get-DnsServerResponseRateLimitingExceptionlist. Dieses Cmdlet ruft die RRL-excception-Listen ab.This cmdlet retrieves RRL excception lists.

  • Remove-dnsserverresponseratelimitingexceptionlist.Remove-DnsServerResponseRateLimitingExceptionlist. Mit diesem Cmdlet wird eine vorhandene RRL-Ausnahmeliste entfernt.This cmdlet removes an existing RRL exception list.

  • Set-dnsserverresponse seratelimitingexceptionlist.Set-DnsServerResponseRateLimitingExceptionlist. Dieses Cmdlet ändert die RRL-Ausnahme Listen.This cmdlet changes RRL exception lists.

  • Add-dnsserverresourcerecord.Add-DnsServerResourceRecord. Dieses Cmdlet wurde aktualisiert, um einen unbekannten Daten Satz Typen zu unterstützen.This cmdlet was updated to support unknown record type.

  • Get-dnsserverresourcerecord.Get-DnsServerResourceRecord. Dieses Cmdlet wurde aktualisiert, um einen unbekannten Daten Satz Typen zu unterstützen.This cmdlet was updated to support unknown record type.

  • Remove-dnsserverresourcerecord.Remove-DnsServerResourceRecord. Dieses Cmdlet wurde aktualisiert, um einen unbekannten Daten Satz Typen zu unterstützen.This cmdlet was updated to support unknown record type.

  • Set-dnsserverresourcerecord.Set-DnsServerResourceRecord. Dieses Cmdlet wurde aktualisiert und unterstützt einen unbekannten Daten Satz.This cmdlet was updated to support unknown record type

Weitere Informationen finden Sie in den folgenden Windows Server 2016 Windows PowerShell-Befehlsreferenz Themen.For more information, see the following Windows Server 2016 Windows PowerShell command reference topics.

Weitere VerweiseAdditional References