如何阻止本地 ns 记录公开?

如何阻止本地 ns 记录公开?

我在 NAT 后面有一个 DNS 和 Active Directory 服务器(我必须这样做)。在 DNS 服务器上,AD 会自动为私有 IP 地址添加 NS 记录。我如何设置策略来响应特定子网的本地 NS 记录?

abc.com
10.0.0.2 private
1.1.1.2 public

当我查询名称服务器时,它返回两个 NS 记录。

我需要这样的政策;

When query comes from 10.0.0.0/8 it should return 10.0.0.2 NS record
When query comes from any other ip it should retun 1.1.1.2 NS record

答案1

您可以使用 DisableNSRecordsAutoCreation 注册表值来禁用域控制器的自动 NS 记录注册:

Key: HKLM\System\CurrentControlSet\Services\DNS\Parameters\
Value: DisableNSRecordsAutoCreation
Value Type: REG_DWORD
Value Data: 0x1

您还应该使用 PublishAddresses 注册表值来防止您的外部/公共地址被内部公布。

Key: HKLM\System\CurrentControlSet\Services\DNS\Parameters\
Value: PublishAddresses  
Value Type: REG_SZ
Value Data: ip address(es), separated by spaces if multiple  

为了完全支持这些要求,您可能能够利用 Windows Server 2016 DNS 的新功能。请参阅以下内容:

https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/what-s-new-in-dns-server

DNS 策略

你可以使用 DNS 策略进行基于地理位置的流量管理、基于一天中的时间的智能 DNS 响应,以管理为裂脑部署配置的单个 DNS 服务器、对 DNS 查询应用筛选器等。以下项目提供了有关这些功能的更多详细信息。

  • 基于地理位置的流量管理。 你可以使用 DNS 策略允许主 DNS 服务器和辅助 DNS 服务器根据客户端和客户端尝试连接的资源的地理位置响应 DNS 客户端查询,并为客户端提供最近资源的 IP 地址。

  • 裂脑 DNS。使用裂脑 DNS,DNS 记录会拆分到同一 DNS 服务器上的不同区域范围中,DNS 客户端会根据客户端是内部客户端还是外部客户端来接收响应。您可以为 Active Directory 集成区域或独立 DNS 服务器上的区域配置裂脑 DNS。

相关内容