Условные пересылки DNS для чего
Обновлено: 21.11.2024
И как я могу доказать это так или иначе?
5 ответов
Я смотрю на свой сервер ADDS/DNS под управлением Windows 2012 и вижу, что он IS кэширует запросы к механизмам условной пересылки. Если я включу «Расширенный вид» в DNS mgmt. консоль и просмотрите дерево кеша, записи есть и устарели. Я собираюсь отправить запрос в службу поддержки премьер-министру, чтобы разобраться в этом.
Я также вижу запись для домена в своих кешированных записях, однако я полагаю, что она была там, когда я размещал DNS для этого домена до того, как мы перешли на условные серверы пересылки. Когда я тестировал совершенно новую настройку, на DNS-сервере не было кэшированных записей. Мне будет интересен ответ, который вы получите, держите меня в курсе.
Поддержка заявила, что кэширование всегда выполняется для любого переадресованного запроса (условного или пересылающего), поэтому мой опыт соответствует ожиданиям. Вы не можете отключить кеширование, но ограничиваете время его кеширования с помощью команды Powershell
У меня было ощущение, что это так. Итак, еще один связанный с этим вопрос. имеет ли вообще какое-либо значение, если вы разрешаете CNAME в запись A или они оба кэшируются в клиенте Windows одинаковым образом?
Записи DNS кэшируются в локальном кэше DNS.
Вы можете проверить локальный кэш DNS с помощью команды ipconfig /displaydns
Да, я знал об этой части. Мой вопрос заключается в том, что мы наблюдаем определенные проблемы при разрешении CNAMES на клиентском DNS-сервере. Каждый раз, когда мы запрашиваем CNAME через условную пересылку, требуется значительно больше времени, чем запись A. Поэтому я подумал, что, возможно, поиск CNAME не кэшируется, и нам приходится каждый раз обращаться к серверу пересылки.
Спасибо за публикацию на платформе вопросов и ответов.
Я провел несколько тестов в своей лаборатории и обнаружил, что когда DNS-клиент инициирует DNS-запрос, когда этот DNS-запрос перенаправляется на сервер условной пересылки и отвечает успешно, он может кэшироваться на стороне клиента и не может кэшироваться на обоих DNS-серверах. Независимо от того, какой DNS-запрос, эта запись может быть кэширована на стороне клиента с определенным сроком жизни.
Если вы хотите выполнить тест, я бы посоветовал вам выполнить команду "ping CNAME-запись на условной пересылке" "ipconfig /displaydns" в окне CMD с правами администратора со стороны клиента, чтобы проверить, была ли кеширована запись CNAME на клиент.
Прикрепляю результаты моего теста для справки.
Запись CNAME для условной пересылки:
Выполните команду "ping testserver.sunny.com" на стороне клиента Windows 10 и получите правильный ответ, как показано ниже:
Затем запустите команду "ipconfig /displaydns" и обнаружите, что эта запись CNAME была кэширована на стороне клиента win 10:
Надеюсь, мой ответ поможет вам.
Если ответ полезен, нажмите "Принять ответ" и проголосуйте за него.
Примечание: следуйте инструкциям в нашей документации, чтобы включить уведомления по электронной почте, если вы хотите получать соответствующее уведомление по электронной почте для этой темы.
Службы приложений в кластерах Iguazio Data Science Platform («платформа») работают поверх Kubernetes (см. Службы приложений платформы). Доступ к службам осуществляется через входы Kubernetes, которые действуют как шлюзы, позволяющие получить доступ к кластерным приложениям и внутренним службам через URL-адреса служб. Платформа использует DNS-сервер CoreDNS для разрешения URL-адресов службы кластера и сопоставления их с IP-адресами внутренней службы. DNS-сервер кластера должен быть настроен на использование условной пересылки, чтобы DNS-запросы, содержащие доменное имя кластера, и только такие запросы, перенаправлялись на платформу для разрешения. В этом документе приведены пошаговые инструкции по настройке условной переадресации DNS в Linux или Windows.
Терминология
Система доменных имен DNS — интернет-сервис, преобразующий доменные имена в IP-адреса. Переадресация DNS Переадресация DNS — это процесс, при котором определенные наборы DNS-запросов перенаправляются на назначенный сервер для разрешения в соответствии с доменным именем DNS в запросе, а не обрабатываются первоначальным сервером, с которым связался клиент. Этот процесс повышает производительность и устойчивость сети. Он предоставляет способ разрешать запросы имен как внутри, так и за пределами сети, передавая пространства имен или записи ресурсов, которые не содержатся в зоне локального DNS-сервера, на удаленный DNS-сервер для разрешения.Когда DNS-сервер настроен на использование сервера пересылки, если он не может разрешить запрос имени с помощью своей локальной первичной зоны, дополнительной зоны или кэша, он перенаправляет запрос назначенному серверу пересылки вместо того, чтобы пытаться разрешить его с помощью root. подсказки (как это делается, когда сервер пересылки не настроен). Условные серверы пересылки Условные серверы пересылки — это DNS-серверы, которые пересылают запросы только для определенных доменных имен. Вместо того, чтобы пересылать все запросы, которые он не может разрешить локально, серверу пересылки, модуль условной пересылки настраивается на пересылку запросов имени конкретным серверам пересылки на основе имени домена, содержащегося в запросе. Пересылка в соответствии с доменными именами улучшает обычную пересылку, добавляя в процесс пересылки условие на основе имени. Это позволяет улучшить разрешение имен между внутренними (частными) пространствами имен DNS, которые не являются частью пространства имен DNS в Интернете, например, в результате слияния компаний. FQDN Полное доменное имя
Конфигурация DNS для Linux
Выполните следующие шаги, чтобы настроить условную переадресацию DNS в Linux с помощью BIND — популярного DNS-сервера с открытым исходным кодом от Консорциума интернет-систем (ISC), который присутствует в большинстве дистрибутивов Linux. дополнительные сведения о BIND см. в разделе «Дополнительные ресурсы» этого документа.
Откройте файл конфигурации сервера имен BIND ( named.conf ) в текстовом редакторе и добавьте следующие строки; замените заполнитель на полное доменное имя кластера платформы, на который вы хотите перенаправлять запросы, и замените заполнители на IP-адреса основных узлов данных кластера:
Проверьте и перезагрузите конфигурацию, выполнив следующие команды из командной строки Linux:
Конфигурация DNS для Windows
Выполните следующие шаги, чтобы настроить условную переадресацию DNS в Windows.
Следующие инструкции совместимы с Windows Server 2012 R2. Конкретные шаги и параметры меню могут отличаться в других версиях Windows.
Откройте Windows Server Manager (например, введя ServerManager в командной строке Windows). В окне диспетчера серверов выберите вкладку Инструменты. Затем выберите DNS из списка инструментов.
В окне диспетчера DNS выберите свой DNS-сервер. Затем выберите Условные серверы пересылки в дереве обзора серверов.
Выберите «Действие» на верхней панели инструментов меню, а затем выберите пункт меню «Новая программа условной пересылки».
В окне "Новая программа условной пересылки" —
В поле DNS-домен введите полное доменное имя кластера платформы, для которого вы хотите перенаправлять запросы.
В поле IP-адреса главных серверов добавьте IP-адреса главных узлов данных вашего кластера.
Отметьте флажок Сохранить этот модуль условной пересылки в Active Directory . флажок, если применимо.
Дополнительные ресурсы
Информация в этом документе частично основана на следующих источниках:
В этой статье описывается резервный вариант и время ожидания, которые существуют, когда один или несколько IP-адресов DNS-серверов настроены как серверы пересылки или условные серверы пересылки на DNS-сервере.
Применимо к: Windows Server 2012 R2
Исходный номер базы знаний: 2834250
Обзор
Проверьте NET: DNS: тайм-ауты разрешения клиента DNS для получения дополнительной информации о тайм-аутах разрешения клиента DNS.
Как и в случае с DNS-клиентами, настройка DNS-серверов с более чем одним сервером пересылки или сервером условной пересылки повышает отказоустойчивость вашей инфраструктуры DNS. Добавление нескольких DNS-серверов в качестве серверов пересылки или условных серверов пересылки позволяет продолжать разрешать DNS-имена в случае сбоев единственного настроенного сервера, основного сетевого канала или поддерживающей сетевой инфраструктуры.
Однако добавление отказоустойчивости на серверах еще более важно, поскольку потенциально существует транзитивная операция, которую какой-либо сервер выполняет от имени множества клиентов, которые в настоящее время зависают. Затем ресурсы потребляются постепенно дольше.
Убедитесь, что правильно настроили параметры, если хотите использовать три или более серверов пересылки/условных серверов пересылки, потому что настройки по умолчанию могут быть не оптимизированы для такого большого количества серверов.
Каково поведение DNS-сервера по умолчанию, когда в качестве серверов пересылки настроено более двух DNS-серверов
RecursionTimeout – время ожидания системой доменных имен (DNS) ответа удаленных серверов на рекурсивный клиентский запрос перед прекращением поиска.
Он сохраняется в реестре в разделе HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters\**RecursionTimeout и настраивается с помощью dnscmd /config /RecursionTimeout .
Значение по умолчанию:
15 секунд на Windows Server 2003
8 секунд в Windows Server 2008, 2008 R2 и 2012
RecursionTimeout определяется на уровне DNS-сервера и не зависит от конкретной запрашиваемой зоны.
ForwardingTimeout — время, в течение которого система доменных имен (DNS) ожидает ответа на запрос от каждого сервера в списке переадресации.
Он сохраняется в реестре в разделе HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters\**ForwardingTimeout и настраивается с помощью dnscmd /config /ForwardingTimeout .
Значение по умолчанию:
5 секунд на Windows Server 2003
3 секунды в Windows Server 2008, 2008R2 и 2012
ForwardingTimeout определяется на уровне DNS-сервера и не зависит от конкретной запрашиваемой зоны.
Когда DNS-сервер получает запрос на запись в зоне, для которой он не является полномочным, и ему необходимо использовать серверы пересылки, поведение по умолчанию будет следующим:
Время (в секундах с начала) | Действие |
---|---|
0 td> | Клиент запрашивает DNS-сервер. DNS-сервер немедленно перенаправляет запрос своему первому серверу пересылки |
Через несколько секунд, если первый сервер пересылки не ответил, DNS-сервер запрашивает второй сервер пересылки. | tr>|
2 * +1 | После +1 секунды, если второй сервер пересылки не ответил, DNS-сервер запрашивает третий сервер пересылки. |
. | . |
N * +(N-1) | После еще + 1 секунды, если N-й сервер пересылки не ответил, DNS-сервер запрашивает (N+1)-го сервера пересылки. |
В дополнение к настроенной задержке может быть дополнительная задержка в полсекунды из-за перегрузки системы.
Алгоритм останавливается, когда истекшее время превышает значение RecursionTimeout
Если RecursionTimeout истечет, DNS-сервер ответит клиенту с ошибкой сервера.
Мы не отправляем сообщение о сбое сервера сразу после истечения срока действия RecursionTimeout, а только тогда, когда пришло время попробовать следующий сервер пересылки.
Если серверу удастся связаться со всеми серверами пересылки до истечения RecursionTimeout, не получив ответов, он попытается использовать корневые ссылки для разрешения имен (настройка по умолчанию, если рекурсия не отключена на уровне сервера).
Это означает, что с настройками по умолчанию сервер 2008R2 сможет запрашивать не более трех серверов пересылки. Не будет достаточно времени, чтобы прибыть, чтобы использовать четвертый экспедитор. На самом деле, с настройками по умолчанию в 2008R2 сервер будет:
- Запрос к первому серверу пересылки через 0 секунд.
- Запросите второй сервер пересылки через 3,5 секунды.
- Запрос к третьему серверу пересылки через 3,5 + 4 = 7,5 секунд.
На восьмой секунде RecursionTimeout истекает, поэтому мы не достигнем точки, в которой запрашивается четвертый сервер пересылки (что произошло бы через 3,5 + 4 + 4 = 11,5 секунд).
Мы отправим ответ о сбое сервера через 11,5 секунд.
DNS-сервер с IP-адресом 192.168.0.1 настроен с пятью серверами пересылки (10.0.0.1–10.0.0.5).
При захвате сети мы увидим следующий вывод сетевого монитора (обратите внимание, что 10.0.0.4 и 10.0.0.5 никогда не запрашивались):
Каково поведение DNS-сервера по умолчанию, когда более двух DNS-серверов настроены как серверы условной пересылки
Как и в случае с серверами пересылки, для модулей условной пересылки существуют две ключевые переменные. У нас все еще есть RecursionTimeout (который работает на уровне сервера), но в этом сценарии мы используем ForwarderTimeout вместо ForwardingTimeout. Особо обратите внимание, что ForwarderTimeout работает на основе зоны и имеет разные значения по умолчанию:
RecursionTimeout – время ожидания системой доменных имен (DNS) ответа удаленных серверов на рекурсивный клиентский запрос перед прекращением поиска.
Он сохраняется в реестре в разделе HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters\RecursionTimeout
Это можно настроить с помощью dnscmd /config/RecursionTimeout .
Значение по умолчанию:
15 секунд на Windows Server 2003
8 секунд в Windows Server 2008 и 2008R2
RecursionTimeout определяется на уровне DNS-сервера и не зависит от конкретной запрашиваемой зоны
ForwarderTimeout – время, в течение которого система доменных имен (DNS) ожидает ответа на запрос от каждого сервера из списка серверов условной пересылки.
Поскольку устройства условной пересылки настроены для определенных зон, ForwarderTimeout также зависит от зоны.
Он сохраняется в реестре в разделе HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\DNS Server\Zones\ \ForwarderTimeout .
Значение по умолчанию – 5 секунд в Windows Server 2003, 2008, 2008R2 и 2012.
Этот параметр также можно увидеть в графическом интерфейсе условной пересылки.
Когда DNS-сервер получает запрос на запись в зоне, для которой он не является полномочным, и настроен на использование для него условных серверов пересылки, поведение по умолчанию будет следующим:
Время (в секундах с начала) | Действие |
---|---|
0 td> | Клиент запрашивает DNS-сервер. DNS-сервер немедленно перенаправляет запрос своему первому узлу условной пересылки |
Через несколько секунд, если первый условный узел пересылки не ответил, DNS-сервер запрашивает второй узел условной пересылки | |
2 * +1 | После +1 секунды, если второй узел условной пересылки не ответил, DNS-сервер запрашивает третий узел условной пересылки | < /tr>
. | . |
N * +(N-1) | После +1 больше секунд, если N-й условный сервер пересылки не ответил, DNS-сервер запрашивает (N+1)-й условный сервер пересылки |
В дополнение к настроенной задержке может быть дополнительная задержка в полсекунды из-за перегрузки системы
Алгоритм останавливается, когда истекшее время превышает значение RecursionTimeout
Если RecursionTimeout истечет, DNS-сервер ответит клиенту с ошибкой сервера.
Мы не отправляем сообщение о сбое сервера сразу после истечения RecursionTimeout, а только тогда, когда пришло время попробовать следующий условный сервер пересылки.
Это означает, что с настройками по умолчанию сервер 2008 R2 сможет запрашивать не более двух модулей условной пересылки. Не будет достаточно времени, чтобы прибыть, чтобы использовать третий условный сервер пересылки. На самом деле, с настройками по умолчанию в 2008R2 сервер будет:
- Запрос к первому серверу пересылки через 0 секунд.
- Запросите второй сервер пересылки через 5,5 секунд.
На восьмой секунде RecursionTimeout истекает, поэтому мы не достигнем точки, в которой запрашивается третий условный сервер пересылки (что произошло бы через 5,5 + 6 = 11,5 секунд).
Мы отправим ответ о сбое сервера через 11,5 секунд.
При захвате сети мы увидим следующий вывод сетевого монитора (обратите внимание, что 10.0.0.3, 10.0.0.4 и 10.0.0.5 никогда не запрашивались):
Windows Server — как настроить условную пересылку в DNS
8 6
Условные серверы пересылки — это функция DNS, представленная в Windows Server 2003. Условные серверы пересылки позволяют организации разрешать имена в частное пространство имен или ускорять преобразование имен в общедоступное пространство имен. Когда DNS-сервер получает запрос клиента на адрес хоста, который не является частью его полномочного пространства имен, он запускает процесс разрешения, начиная с корневого сервера имен, и продолжает этот процесс до тех пор, пока имя не будет разрешено. Когда условная пересылка настроена, локальный DNS-сервер будет пересылать запрос полномочному DNS-серверу для пространства имен домена запроса. В этом блоге мы рассмотрим, как настроить условную пересылку в DNS.
Две организации, USSHQ и Dulce Base, должны иметь возможность совместно использовать ресурсы. Желательны доверительные отношения между двумя организациями доменными службами Active Directory, но ни одно из пространств имен организаций не может быть разрешено с помощью разрешения общедоступных имен. Для настройки разрешения имен доверительных отношений необходимо настроить. Одним из вариантов разрешения имен является использование условных серверов пересылки. DNS в каждом домене будет настроен на переадресацию запроса пространства имен другой организации на полномочный DNS-сервер. Для всех других имен, требующих разрешения, будет использоваться метод разрешения имен по умолчанию.
Если компьютер из Dulce Base попытается связаться с компьютером в USSHQ, он не сможет разрешить имя. См. рисунок ниже, тот же результат будет получен в другом направлении.
Настройка условной пересылки (те же шаги будут выполнены на обоих DNS-серверах)
- Дополнительно нажмите «Условные серверы пересылки», нажмите «Новый условный сервер пересылки».
- Введите DNS-имя нужного домена для разрешения.
- Нажмите Щелкните здесь, чтобы добавить IP-адрес или DNS-имя, введите IP-адрес удаленного DNS-сервера и нажмите Enter. Нажмите "ОК".
- Теперь разрешение имени будет выполняться с DulceBase.Local на USSHQ.Local. После того как администратор DNS завершит настройку DNS-сервера USSHQ.Local, разрешение имен DNS-серверов будет выполнено с USSHQ.Local на DulceBase.local.
Как видите, настройка условной переадресации — это простое решение для разрешения имен в частной сети, когда не удается разрешить общедоступное имя.
До следующего раза, ЕЗДИТЕ В БЕЗОПАСНОСТИ!
Вам также может понравиться
Использование утилит командной строки для устранения неполадок с именем…
Общие сведения о первичной и вторичной зонах DNS и способы…
Службы динамического разрешения имен (DNS) и (WINS)
Установка DNS с нуля на Windows Server
Теги
Видео, которые могут вам понравиться
Создание динамического DNS в сетевой среде
Это содержание из нашего учебного курса CompTIA Network + Video Certification. Начните тренироваться сегодня! В этом видео инструктор CompTIA Network + Рик Трейдер учит, как создавать зоны динамического DNS в сетевых средах. Транскрипция видео: Теперь, когда мы установили DNS, мы создали наши зоны DNS, теперь следующий шаг — как мы их создадим… Продолжить чтение Создание динамического DNS в сетевых средах
Гибкая методология в управлении проектами
В этом видео вы получите представление о терминологии и концепциях сертификации Agile и Scrum Master, которые помогут вам принимать более обоснованные решения в области управления проектами. Независимо от того, являетесь ли вы разработчиком, желающим получить сертификат Agile или Scrum Master, или руководителем проекта/владельцем продукта, который пытается получить свой продукт, или… Продолжить чтение Методология Agile в управлении проектами
Создание пользователей и управление паролями в Microsoft Office 365
В этом обучающем видео по Office 365 инструктор Спайк Ксавьер демонстрирует, как создавать пользователей и управлять паролями в Office 365. Учебные занятия по Office 365 под руководством инструктора см. в расписании нашего курса: Спайк Ксавьер Инструктор по SharePoint — Техническое обучение интерфейсу Феникс, Аризона. 20347: включение и управление Office 365
Читайте также: