设置 Windows DNS 服务器以重定向本地 LAN 中特定机器上的所有请求

设置 Windows DNS 服务器以重定向本地 LAN 中特定机器上的所有请求

我遇到了一个问题,无法阻止用户在本地局域网上访问互联网(例如观看 www.yahoo.com)

目前我已经安装了 Windows Server 2008 R2,并且我已经进行了更改,不允许用户通过路由器上的默认网关访问互联网,但是,我想设置 DNS 服务器以将所有请求重定向到本地 LAN 中的单个 IP,例如:如果用户尝试在 DNS 服务器上查找“www.google.com”或“google.com”,它将返回 IP 192.168.1.1

如何设置 Windows DNS 以将所有请求指向其自身?

答案1

打开 DNS 管理。为 google.com 设置一个新的正向查找区域,并将主机 A 记录设置为 192.168.1.1。同时确保所有客户端都使用该服务器作为 DNS。

答案2

您可以在服务器上创建一个根区域 (.),这将有效禁用所有外部名称的 DNS 解析。请注意,这将禁用所有外部名称的所有 DNS 解析。

答案3

我不知道你能不能。据我所知,我不相信你能创造一个在 Windows DNS 中输入记录,让其将所有请求重定向到一个 IP 地址。如果您确信自己永远不需要在该网络部分访问互联网,则可以从 DNS 中删除根提示,这将导致所有非内部 DNS 请求失败,但我不确定您是否可以在 Windows DNS 中将所有 DNS 请求解析为一个 IP 地址。

如果您试图限制用户的 Web 访问,还有其他方法。我建议设置一个组策略,将所有未发送到已批准白名单的 Web 流量代理为 0.0.0.0,这样只会将所有流量黑洞化。我之前曾为客户这样做过 - 这并不难,特别是如果白名单很小(即一台 SharePoint 服务器)。

答案4

您可以通过删除目标 DNS 服务器中的所有根提示并使用 fqdn“.”(点)创建自己的根区域来实现此目的。这将导致解析查询在第一步停止。

不过,您在 DNS 中执行的任何操作都是可以绕过的......

当用户在 tcp/ip 配置中更改主 DNS 服务器时,您的 DNS 服务器将不再生效。当用户尝试通过 IP 地址连接时,您的 DNS 服务器将不再生效。例如,在您的 DNS 服务器中为 google.com 创建一个主区域,并添加一条 A 记录,无论 IP 是您想要的。清除 DNS 客户端缓存。然后尝试浏览 google.com,看看您的 DNS 服务器是否会被访问并解析您配置的 IP 地址,然后尝试浏览“209.85.148.105”

我更喜欢配置防火墙。可能是 ISA 或 TMG。

相关内容