1.0. Domeinnaamsysteem implementeren
1.0.1. Inleiding
Doorgaans gebruiken gebruikers en computers hostnamen in plaats van netwerkadressen van Internet Protocol versie 4 (IPv4) of Internet Protocol versie 6 (IPv6) om te communiceren met andere hosts en services op netwerken. Een Windows Server 2016-service, ook wel de serverrol Domain Name System (DNS) genoemd, zet deze namen om in IPv4- of IPv6-adressen.
Aangezien veel belangrijke apps en services afhankelijk zijn van de DNS-serverrol, is het belangrijk dat u weet hoe u Windows Server 2016-naamomzetting installeert en configureert met behulp van de DNS-serverrol. Als gevolg hiervan behandelt het 70-741 Networking Windows Server 2016-examen hoe u de DNS-serverrol op Windows Server 2016 installeert en configureert.
Het 70-741 Networking Windows Server 2016-examen behandelt ook het implementeren van zones en Domain Name System-records met behulp van de DNS-serverrol. Het is daarom belangrijk dat je weet hoe DNS-zones te maken en te beheren met behulp van de DNS-serverrol van Windows Server 2016, en hoe u host- en servicegerelateerde records binnen deze zones maakt en beheert.
1.1. DNS-servers installeren en configureren
Windows Server 2016 biedt de DNS-serverrol waarmee u naamomzettingsservices kunt bieden aan apparaten en computers in de netwerkinfrastructuur van uw organisatie. De eerste stap om naamomzetting te bieden, is het implementeren van de DNS-serverrol op Windows Server 2016-servercomputers.
1.1.1. Overzicht van naamomzetting
Hoewel IP-adressering niet bijzonder complex is, is het voor gebruikers gemakkelijker om met hostnamen te werken dan met de IPv4- of IPv6-adressen van hosts, zoals websites, waarmee ze verbinding willen maken. Wanneer een toepassing, zoals Microsoft Edge, verwijst naar een websitenaam, wordt de naam in de URL geconverteerd naar het onderliggende IPv4- of IPv6-adres met behulp van een proces dat bekend staat als naamomzetting.
Windows 10- en Windows Server 2016-computers kunnen twee soorten namen gebruiken. Dit zijn:
- Hostnamen – Een hostnaam, met een lengte van maximaal 255 tekens, bevat alleen alfanumerieke tekens, punten en koppeltekens. Een hostnaam is een alias gecombineerd met een DNS-domeinnaam. De alias computer1 wordt bijvoorbeeld voorafgegaan door de domeinnaam, Contoso.com, om de hostnaam te maken, of Fully Qualified Domain Name (FQDN), computer1.contoso.com.
- NetBIOS-namen – Minder relevant tegenwoordig, gebruiken NetBIOS-namen een niet-hiërarchische structuur op basis van een naam van 16 tekens. Het zestiende teken identificeert een bepaalde service die wordt uitgevoerd op de computer die wordt genoemd door de voorgaande 15 tekens. LON-SVR1[20h] is dus de NetBIOS-server service op de computer met de naam LON-SVR1.
De methode waarmee een Windows 10- of Windows Server 2016-computer namen omzet, hangt af van de configuratie, maar werkt meestal zoals weergegeven in de volgende afbeelding.
Het volgende proces identificeert de typische stadia van naamomzetting voor een Windows 10 of Windows Server 2016-computer.
- Bepaal of de opgevraagde hostnaam hetzelfde is als de lokale hostnaam.
- Zoek in de lokale DNS-resolvercache naar de opgevraagde hostnaam. De cache wordt bijgewerkt wanneer records met succes zijn opgelost. Daarnaast wordt de inhoud van het lokale Hosts-bestand toegevoegd aan de resolvercache.
- Vraag een DNS-server aan voor de vereiste hostnaam.
Natuurlijk doet naamomzetting in Windows Server 2016 meer dan alleen een eenvoudige naam-naar-IP-toewijzing. De DNS-serverrol wordt ook door computers gebruikt om services binnen de netwerkinfrastructuur te lokaliseren. Wanneer een computer bijvoorbeeld opstart, moet de gebruiker zich aanmelden bij het Active Directory Domain Services-domein (AD DS) en misschien Microsoft Office Outlook openen. Dit betekent dat de clientcomputer een server moet zoeken die verificatieservices kan bieden op de lokale AD DS-site en bovendien de juiste Microsoft Exchange-mailboxserver voor de gebruiker moet vinden. Voor deze processen is DNS vereist.
1.1.2. Vereisten voor DNS-installatie bepalen
Voordat u de DNS-serverrol kunt installeren, moet u controleren of uw servercomputer voldoet aan de installatievereisten van de rol.
De installatievereisten voor de DNS-serverrol zijn:
- Beveiliging – U moet zich op de servercomputer aanmelden als lid van de lokale groep Administrators.
- IP-configuratie – De server moet een statisch toegewezen IPv4- en/of IPv6-configuratie hebben. Dit zorgt ervoor dat clientcomputers de DNS-serverrol kunnen lokaliseren met behulp van het IP-adres.
Naast deze serververeisten moet u ook voorbereid zijn om vragen te beantwoorden die betrekking hebben op de netwerkinfrastructuur van uw organisatie. Deze organisatorische vragen hebben betrekking op uw aanwezigheid op het internet en de geregistreerde domeinnamen die u openbaar wilt gebruiken. Hoewel u deze domeinnamen niet hoeft te definiëren tijdens de installatie van de DNS-rol, moet u deze informatie wel opgeven wanneer u de DNS-rol configureert.
1.1.3. Installeer de DNS-serverrol
U kunt de DNS-serverrol installeren met Serverbeheer of met Windows PowerShell.
1.1.3.1. DNS installeren met Server Manager
Gebruik de volgende procedure om de DNS-serverrol met Server Manager te installeren:
- Meld u aan bij de doelserver als lokale beheerder.
- Open Serverbeheer.
- Klik in Serverbeheer op Beheren en klik vervolgens op Rollen en onderdelen toevoegen.
- Klik op de pagina Rollen en onderdelen toevoegen voordat u begint op Volgende.
- Klik op de pagina Installatietype selecteren op Op rollen gebaseerde of op functie gebaseerde installatie en klik op Volgende.
- Selecteer op de pagina Bestemmingsserver selecteren de server in de lijst Serverpool en klik op Volgende.
- Selecteer in de lijst Rollen op de pagina Serverrollen selecteren de DNS-server zoals weergegeven in de volgende qfbeelding.
- Klik in het pop-upvenster Wizard Rollen en onderdelen toevoegen op Functies toevoegen en klik vervolgens op Volgende.
- Klik op de pagina Functies selecteren op Volgende.
- Klik op de pagina DNS-server op Volgende.
- Klik op de pagina Installatieselecties bevestigen op Installeren. Wanneer de installatie is voltooid, klikt u op Sluiten.
1.1.3.2. DNS installeren met Windows PowerShell
Hoewel het gebruik van Server Manager om serverrollen en functies te installeren eenvoudig is, is dit niet altijd de snelste methode. Gebruik de volgende procedure om de DNS-serverrol en alle gerelateerde beheertools te installeren met behulp van Windows PowerShell:
- Meld u aan bij de doelserver als lokale beheerder.
- Open een verhoogd Windows PowerShell-venster.
- Typ bij de Windows PowerShell-prompt, zoals weergegeven in de volgende afbeelding, de volgende opdracht Add-WindowsGeature DNS-IncludeManagementTools en druk op Enter.
1.1.4. Bepaal ondersteunde DNS-implementatiescenario’s op Nano Server
Nano Server is een nieuwe implementatieoptie voor Windows Server 2016. Het is vergelijkbaar met Windows Server Core, maar heeft veel kleinere hardwarevereisten. Nano Server heeft ook zeer beperkte lokale aanmeldingsmogelijkheden en lokale beheerfunctie, en ondersteunt alleen 64-bits apps, agents en tools.
Er zijn een aantal situaties waarin u zou moeten overwegen Nano Server te verkiezen boven andere implementatie-opties van Windows Server. Nano Server biedt bijvoorbeeld een goed platform voor een webserver met Internet Information Services (IIS). Nano Server is ook bij uitstek geschikt om de DNS-serverrol uit te voeren.
Om de DNS-serverrol op Nano Server te installeren, kunt u een van de volgende twee strategieën gebruiken.
- Installeer de DNS-serverrol als onderdeel van de Nano Server-implementatie – Wanneer u Nano Server implementeert met de New-NanoServerImage cmdlet, kunt u de parameter -Packages Microsoft- NanoServer-DNS-Package gebruiken om de DNS-serverrol te installeren.
- De rol toevoegen na implementatie – Nadat u Nano Server hebt geïmplementeerd, kunt u de DNS-serverrol toevoegen met Serverbeheer of Windows PowerShell. Aangezien Nano Server echter een headless serverplatform is met zeer weinig lokale beheermogelijkheden, moet u de server op afstand beheren.
U kunt de rol op een van de volgende manieren aan de Nano-server toevoegen:
- Gebruik vanuit Serverbeheer de optie Andere servers aan beheer toevoegen om de Nano Server toe te voegen als een beheerbare server. Voeg vervolgens de DNS Server-rol toe aan de server met behulp van de procedure die eerder in dit hoofdstuk is beschreven (zie “DNS installeren met Server Manager”).
- Breng een externe Windows PowerShell-sessie tot stand met de Nano Server met behulp van de Enter-PSSession-cmdlet. U kunt vervolgens Windows PowerShell-cmdlets gebruiken om de DNS-serverrol te installeren, zoals eerder in dit hoofdstuk is beschreven. Als u bijvoorbeeld de DNS-rol wilt toevoegen aan een Nano Server vanuit een externe Windows PowerShell-sessie, gebruikt u de volgende opdracht:
Enable-WindowsOptionalFeature -Online -FeatureName DNS-Server-Full-Role
Examentip
In Active Directory geïntegreerde DNS wordt niet ondersteund op Nano Server, wat betekent dat u bestandsgebaseerde DNS alleen op Nano Server kunt implementeren.
1.1.5. Doorstuurservers, roothints, recursie en delegatie configureren
Nadat u de DNS-serverrol op uw Windows Server 2016-servercomputer hebt geïnstalleerd, moet u deze configureren. Dit omvat het configureren van doorsturen, root-hints, recursie en delegatie.
1.1.5.1. Doorstuurservers configureren
Met DNS-forwarding kunt u definiëren wat er gebeurt met een DNS-query wanneer de aangevraagde DNS-server die DNS-query niet kan oplossen. U kunt bijvoorbeeld DNS-forwarding configureren en gebruiken om de stroom van DNS-verzoeken in uw hele organisatie te beheren, zodat alleen specifieke DNS-servers worden gebruikt voor het afhandelen van internet-DNS-query’s.
Met DNS-forwarding kunt u:
- Een DNS-server configureren om enkel te reageren op die vragen waaraan deze kan voldoen door te verwijzen naar lokaal opgeslagen zone-informatie. Voor alle andere verzoeken moet de aangevraagde DNS-server het verzoek doorsturen naar een andere DNS-server.
- Het doorstuurgedrag voor specifieke DNS-domeinen definiëren door DNS voorwaardelijke doorsturen te configureren. Als de DNS-query in dit scenario een specifieke domeinnaam bevat, bijvoorbeeld Contoso.com, wordt deze doorgestuurd naar een specifieke DNS-server.
Gebruik de volgende procedure om doorsturen te configureren:
- Klik in Serverbeheer op Extra en vervolgens op DNS.
- Klik in DNS Manager met de rechtermuisknop op de DNS-server in het navigatievenster en klik op Eigenschappen.
- Klik in het dialoogvenster Servereigenschappen op het tabblad Doorstuurservers op Bewerken.
- Voer in de lijst IP-adres in het dialoogvenster Doorstuurservers bewerken het IP-adres in van de server waarnaar u alle DNS-query’s wilt doorsturen en klik vervolgens op OK. U kunt hier meerdere DNS-servers configureren; die servers worden in volgorde van voorkeur aangevraagd. U kunt ook een time-outwaarde instellen, in seconden, waarna de query een time-out krijgt
- In het dialoogvenster Servereigenschappen op het tabblad Forwarders kunt u de lijst met DNS-forwarders bekijken en bewerken, zoals weergegeven in de volgende afbeelding. U kunt ook bepalen wat er gebeurt als er geen DNS-forwarders kunnen worden gecontacteerd. Als er geen contact kan worden opgenomen met forwarders, worden standaard root-hints gebruikt. Roothints worden in de volgende sectie besproken. Klik op OK om de configuratie te voltooien.
Examentip
U kunt doorsturen ook configureren met behulp van de Add-DnsServerForwarder Windows PowerShell-cmdlet.
Gebruik de volgende procedure om voorwaardelijk doorsturen in te schakelen en te configureren:
- Klik in DNS Manager met de rechtermuisknop op het knooppunt Voorwaardelijke doorstuurservers in het navigatievenster en klik vervolgens op Nieuwe voorwaardelijke doorstuurserver.
- Typ in het dialoogvenster Nieuwe voorwaardelijke doorstuurserver in het vak DNS-domein de domeinnaam waarvoor u een voorwaardelijke doorstuurserver wilt maken, zoals weergegeven in de volgende afbeelding. Voer vervolgens in het IP-adres van de lijst met masterservers het IP-adres in van de server die als doorstuurserver voor dit domein moet worden gebruikt; druk op Enter.
- Geef desgewenst de waarde voor Time-out voor het doorsturen van query’s op. De standaardwaarde is 5 seconden.
- Klik op OK.
Examentip
U kunt de Add-DnsServerConditionalForwarderZone Windows PowerShell-cmdlet gebruiken om voorwaardelijk doorsturen te configureren.
1.1.5.2. Root-hints configureren
Als u DNS-forwarding niet opgeeft, gebruikt een DNS-server waarvoor een verzoekschrift is ingediend niet in staat om aan een DNS-query te voldoen, root-hints om te bepalen hoe het probleem kan worden opgelost. Voordat we naar root-hints kijken, is het belangrijk dat u begrijpt hoe een internet-DNS-query wordt afgehandeld.
1.1.5.3. Hoe een internet-DNS-query wordt afgehandeld
Een client-app, zoals Microsoft Edge, wil een naam (zoals www.contoso.com) omzetten naar het relevante IPv4-adres. Deze app wordt een DNS-client genoemd. Het proces dat wordt gebruikt om deze naam op te lossen, wordt hierna beschreven en wordt weergegeven in de volgende afbeelding.
- De DNS-client verzoekt de geconfigureerde DNS-server om het vereiste record (bijvoorbeeld www.contoso.com) met behulp van een recursieve query.
- De aangevraagde DNS-server controleert of deze gezaghebbend is voor het vereiste record. Als dit het geval is, wordt de gevraagde informatie geretourneerd.
- Als het niet gezaghebbend is, controleert de DNS-server de lokale cache om te bepalen of het record onlangs is opgelost. Als het record zich in de cache bevindt, wordt het teruggestuurd naar de verzoekende client.
- Als het record niet in de cache is opgeslagen, gebruikt de DNS-server een reeks iteratieve zoekopdrachten naar andere DNS-servers waarop het het aangevraagde record opvraagt. Het begint met de rootserver.
- Het record retourneert het als de rootserver gezaghebbend is voor het gevraagde record. Anders retourneert de rootserver het IP-adres van een DNS-server die gezaghebbend is voor het volgende down-level domein, in dit geval .com.
- De oorspronkelijke DNS-server verzoekt de opgegeven .com DNS-server met een andere iteratieve query.
- De .com DNS-server is niet gezaghebbend en retourneert daarom het IP-adres van de Contoso.com DNS-server.
- De oorspronkelijke DNS-server verzoekt de opgegeven Contoso.com DNS-server met een andere iteratieve query.
- De DNS-server van Contoso.com is gezaghebbend en retourneert dus de vereiste informatie, in dit geval het IPv4-adres voor www.contoso.com.
- De oorspronkelijke DNS-server slaat het record op in de cache en stuurt de gevraagde informatie terug naar de DNS-client.
Examentip
Wanneer een DNS-server een recursieve query ontvangt, retourneert deze het vereiste resultaat of retourneert deze een fout; de DNS-server verwijst de DNS-client niet naar een andere server.
Wanneer een DNS-server een iteratieve query ontvangt, retourneert deze ofwel het vereiste resultaat, ofwel retourneert deze een verwijzing naar een andere server die mogelijk gezaghebbend is voor het aangevraagde record.
1.1.5.4. Hoe root-hints worden gebruikt
Zoals je kunt zien in de voorgaande uitleg en diagram, als een DNS-server niet gezaghebbend is en geen cache voor dat DNS-domein heeft, verzoekt deze een rootserver om het proces te starten om te bepalen welke server gezaghebbend is voor het aangevraagde record. Zonder het IP-adres van de root nameservers kan dit proces echter niet beginnen.
Root-hints worden door DNS-servers gebruikt om hen in staat te stellen door de DNS-hiërarchie op internet te navigeren, te beginnen bij de root. Microsoft DNS-servers zijn vooraf geconfigureerd met de relevante root-hintrecords. U kunt de lijst met root-hintservers echter wijzigen met behulp van de DNS Manager-console of met behulp van Windows PowerShell.
Examentip
Standaard implementeert de DNS Server-service root-hints met behulp van een bestand, CACHE.DNS, dat is opgeslagen in de map %systemroot%\System32\dns op de servercomputer.
U kunt overwegen de informatie over roothints te bewerken als u de stroom van DNS-queryverkeer binnen uw interne netwerk wilt configureren. Dit is ook handig tussen uw interne netwerk en het grensnetwerk, dat zich tussen uw interne netwerk en internet bevindt.
1.1.5.5. Root-hints bewerken
Gebruik de volgende procedure om de informatie over roothints te wijzigen met DNS Manager:
- Klik in Serverbeheer op Extra en vervolgens op DNS.
- Zoek in de DNS Manager-console de juiste DNS-server. Klik met de rechtermuisknop op de server en klik op Eigenschappen.
- Klik in het dialoogvenster Eigenschappen van de server op het tabblad Roothints, zoals weergegeven in de volgende afbeelding.
- U kunt vervolgens nieuwe records toevoegen of bestaande records bewerken of verwijderen. U kunt ook op Kopiëren van server klikken om de root-hints van een andere online DNS-server te importeren. Klik op OK als u klaar bent met het bewerken van roothints.
U kunt ook Windows PowerShell gebruiken om de informatie over roothints op uw DNS-server te wijzigen. De volgende cmdlets zijn beschikbaar om root-hints te beheren:
- Add-DnsServerRootHint – Hiermee kunt u nieuwe records met roothints toevoegen.
- Remove-DnsServerRootHint – Hiermee kunt u records met roothints verwijderen.
- Set-DnsServerRootHint – Hiermee kunt u bestaande records met roothints bewerken. U kunt ook de Get-DnsServerRootHint-cmdlet gebruiken om de vereiste record voor bewerking op te halen.
- Import-DnsServerRootHint – Hiermee kunt u de informatie over roothints kopiëren van een andere online DNS-server.
Als u bijvoorbeeld de waarde wilt bijwerken voor de root-hints die zijn toegewezen aan H.Root-servers.adatum.com, gebruikt u de volgende twee Windows PowerShell-opdrachten:
$hint = (Get-DnsServerRootHint | Where-Object {$_.NameServer.RecordData.NameServer -eq "H.Root-Servers.Adatum.com."} )
$hint.IPAddress[0].RecordData.Ipv4address = "10.24.60.254"
De eerste opdracht verkrijgt de H.Root-servers.adatum.com root hint en wijst deze toe aan de variabele $hint. De cmdlet Get-DnsServerRootHint haalt de lijst met alle root-hints op en de Where-Object-cmdlet filtert de resultaten om alleen de root-hint voor H.Root-servers.adatum.com te krijgen.
1.1.5.6. Recursie configureren
Recursie is het naamomzettingsproces wanneer een DNS-server waarvoor een verzoek is ingediend, andere DNS-servers ondervraagt om namens een verzoekende client een DNS-query op te lossen. De server waarvoor een verzoek is ingediend, stuurt het antwoord vervolgens terug naar de DNS-client. Standaard voeren alle DNS-servers recursieve query’s uit namens hun DNS-clients en andere DNS-servers die DNS-clientquery’s naar hen hebben doorgestuurd.
Omdat kwaadwillenden echter recursie kunnen gebruiken om een denial-of-service-aanval op uw DNS-servers uit te voeren, moet u overwegen om recursie uit te schakelen op elke DNS-server in uw netwerk die niet bedoeld is om recursieve query’s te ontvangen.
Gebruik de volgende procedure om recursie uit te schakelen:
- Klik in Serverbeheer op Extra en klik vervolgens op DNS.
- Klik in de DNS Manager-console met de rechtermuisknop op de juiste server en klik vervolgens op Eigenschappen.
- Klik op het tabblad Geavanceerd en schakel vervolgens in de lijst Serveropties het selectievakje Recursie uitschakelen (ook forwarders uitschakelen) in, zoals weergegeven in de volgende afbeelding, en klik vervolgens op OK.
1.1.5.7. Recursiebereiken
Hoewel het misschien een goed idee lijkt om recursie uit te schakelen, zijn er servers die recursie moeten uitvoeren voor hun clients en andere DNS-servers. Deze lopen echter nog steeds het risico van kwaadaardige netwerkaanvallen. Windows Server 2016 ondersteunt een functie die bekend staat als recursiebereiken, waarmee u het gedrag van recursieve query’s kunt beheren. Om dit te doen, moet u DNS-serverbeleid gebruiken.
U hebt bijvoorbeeld een DNS-server die recursieve zoekopdrachten moet kunnen uitvoeren voor interne clients binnen het Adatum.com-domein, maar die geen recursieve zoekopdrachten van op internet gebaseerde computers mag accepteren. Om dit gedrag te configureren, opent u Windows PowerShell en voert u de volgende twee opdrachten uit:
Set-DnsServerRecursionScope -Name . -EnableRecursion $False
Add-DnsServerRecursionScope -Name "InternalAdatumClients" -EnableRecursion $True
De eerste opdracht schakelt recursie uit voor het standaard recursiebereik, waardoor recursie wordt uitgeschakeld. Het standaardbereik bestaat uit de recursie- en doorstuurinstellingen op serverniveau die we eerder hebben besproken (zie “Doorstuurservers, roothints, recursie en delegatie configureren”, in dit hoofdstuk).
Met de tweede opdracht wordt een nieuw recursiebereik gemaakt met de naam InternalAdatumClients. Recursie is ingeschakeld voor clients in dit bereik. Vervolgens moet u definiëren welke clients deel uitmaken van het recursiebereik. Gebruik de volgende Windows PowerShell-opdracht om dit te bereiken:
Add-DnsServerQueryResolutionPolicy -Name "RecursionControlPolicy" -Action ALLOW -ApplyOnRecursion -RecursionScope "InternalAdatumClients" -ServerInterfaceIP "EQ,10.24.60.254"
In dit voorbeeld worden clientverzoeken die zijn ontvangen op de DNS-serverinterface met IP 10.24.60.254 beoordeeld als behorend tot InternalAdatumClients en is recursie ingeschakeld. Voor clientverzoeken die op andere serverinterfaces worden ontvangen, is recursie uitgeschakeld.
1.1.5.8. Delegatie configureren
Deze inhoud wordt behandeld in Hoofdstuk 1, Domeinnaamsysteem implementeren: “Delegatie configureren”.
1.1.6. Geavanceerde DNS-instellingen configureren
Door forwarding, recursie en roothints te configureren, kunt u de basisprincipes bepalen van hoe DNS-query’s binnen uw organisatie worden verwerkt. Nadat u deze instellingen hebt geconfigureerd, kunt u doorgaan met het inschakelen en configureren van meer geavanceerde instellingen.
1.1.6.1. DNSSEC configureren
DNSSEC is een beveiligingsinstelling voor DNS waarmee alle DNS-records in een DNS-zone digitaal kunnen worden ondertekend, zodat DNS-clients de identiteit van de DNS-server kunnen verifiëren. DNSSEC helpt ervoor te zorgen dat de DNS-client communiceert met een echte DNS-server.
Opmerking DNS-zones
Het maken en beheren van DNS-zones wordt behandeld in “DNS-zones maken”.
Wanneer een client een DNS-server opvraagt die is geconfigureerd met DNSSEC, retourneert de server eventuele DNS-resultaten samen met een digitale handtekening. Om ervoor te zorgen dat de handtekening geldig is, verkrijgt de DNS-client de openbare sleutel van het openbare/privé-sleutelpaar dat bij deze handtekening hoort van een vertrouwensanker. Om dit te laten werken, moet u uw DNS-clients configureren met een vertrouwensanker voor de ondertekende DNS-zone.
1.1.6.2. Trust Anchors
Om DNSSEC te implementeren, moet u een TrustAnchors-zone aanmaken. Deze zone wordt gebruikt om openbare sleutels op te slaan die zijn gekoppeld aan specifieke DNS-zones. U moet een vertrouwensanker maken vanuit de beveiligde zone op elke DNS-server die de zone host.
1.1.6.3. Naam Resolutiebeleidstabel
Bovendien moet u een Name Resolution Policy Table (NRPT) maken, configureren en distribueren. Een DNSSEC-regel in de NRPT wordt door clients gebruikt om het DNS-clientgedrag te bepalen en wordt door DNSSEC gebruikt om de client te instrueren om validatie aan te vragen door middel van een handtekening.
Examentip
In Active Directory Domain Services (AD DS)-omgevingen is het gebruikelijk om Group Policy Objects (GPO’s) te gebruiken om de NRPT te distribueren.
1.1.6.4. DNSSEC implementeren
Na het installeren van Windows Server 2016 en het implementeren van de DNS-serverrol op de server, gebruikt u de volgende procedure om DNSSEC te implementeren:
- Start de DNSSEC-configuratiewizard vanuit de DNS Manager-console om de DNS-zone te ondertekenen. Klik in DNS Manager met de rechtermuisknop op de gewenste zone, wijs DNSSEC aan en klik vervolgens op Sign The Zone. Wanneer u de zone ondertekent, zoals weergegeven in de volgende afbeelding, kunt u kiezen uit drie opties.
- Zone Signing-parameters aanpassen – Hiermee kunt u alle waarden voor de Key Signing Key (KSK) en de Zone Signing Key (ZSK) configureren.
- Onderteken de zone met parameters van een bestaande zone – Hiermee kunt u dezelfde waarden gebruiken en opties als een bestaande ondertekende zone.
- Gebruik standaardinstellingen om de zone te ondertekenen – Ondertekent de zone met standaardwaarden.
- Configureer distributiepunten voor vertrouwensankers U kunt deze optie kiezen als u hierboven de optie Zone Signing-parameters aanpassen selecteert. Gebruik anders, nadat u de zone hebt ondertekend, de volgende procedure om distributiepunten voor vertrouwensankers te configureren:
- Klik in DNS Manager met de rechtermuisknop op de gewenste zone, wijs DNSSEC aan en klik vervolgens op Eigenschappen.
- Selecteer in het dialoogvenster DNSSEC-eigenschappen voor geselecteerde zone op het tabblad Vertrouwensanker, zoals weergegeven in de volgende afbeelding, het selectievakje De distributie van vertrouwensankers voor deze zone inschakelen en klik op OK. Klik desgevraagd op Ja en vervolgens op OK.
- Controleer of het Trust Points-knooppunt bestaat en de relevante DNS KEY-records (DNSKEY) bevat. Vouw hiervoor in DNS Manager het knooppunt Server uit en vouw vervolgens Vertrouwenspunten uit. Het bevat subknooppunten voor uw DNS-zones, die twee DNS KEY-records (DNSKEY) bevatten.
- Configureer de NRPT op de clientcomputers. U moet de NRPT distribueren naar alle clientcomputers, zodat ze weten dat ze validatie via DNSSEC moeten aanvragen. De eenvoudigste manier om dit te bereiken, is door GPO-distributie te gebruiken:
- Open Groepsbeleidsbeheer en zoek het standaarddomeinbeleid.
- Open dit beleid om het te bewerken en ga naar Computerconfiguratie / Beleid / Windows-instellingen / Beleid voor naamomzetting, zoals weergegeven in de volgende afbeelding.
- Typ in het gedeelte Regels maken de naam van uw domein (bijvoorbeeld Adatum.com) in het tekstvak Suffix; als u dit doet, wordt de regel toegepast op het achtervoegsel van die naamruimte.
- Schakel het selectievakje DNSSEC inschakelen in deze regel in, schakel het selectievakje DNS-clients vereisen om te controleren of de naam- en adresgegevens zijn gevalideerd door de DNS-server in en klik vervolgens op Maken.
1.1.6.5. DNS-socket-pool configureren
U kunt de DNS-socketpool gebruiken om een DNS-server in staat te stellen een willekeurige bronpoort te gebruiken bij het uitgeven van DNS-query’s. Als u DNS-socketspool inschakelt, selecteert de DNS-server een bronpoort uit een pool van beschikbare sockets wanneer de DNS-service start. Dit betekent dat de DNS-server het gebruik van bekende poorten vermijdt. Dit kan helpen om de DNS-server te beveiligen, omdat een kwaadwillende zowel de bronpoort van een DNS-query als een willekeurige transactie-ID moet raden om een kwaadaardige aanval uit te voeren.
U kunt het opdrachtregelprogramma DNSCMD.exe gebruiken om de grootte van de DNS-socketpool te configureren.
Voer vanaf een verhoogde opdrachtprompt de opdracht dnscmd /Config /SocketPoolSize <waarde> uit en start de DNS-server opnieuw. U kunt de grootte van de socketpool configureren van 0 tot en met 10.000. De standaard poolgrootte is 2500.
1.1.6.6. Cachevergrendeling configureren
Wanneer een DNS-client een recursieve DNS-server opvraagt, slaat de server het resultaat op in de cache, zodat deze sneller kan reageren op andere DNS-clients die dezelfde informatie opvragen. De hoeveelheid tijd dat een record zich in de cache bevindt, wordt bepaald door de Time To Live (TTL)-waarde van het record.
Tijdens de TTL kan een record worden overschreven als er recentere gegevens voor het record beschikbaar zijn.
Dit brengt echter mogelijk een beveiligingsprobleem aan het licht. Een kwaadwillende kan het record in de cache mogelijk overschrijven met informatie die klanten zou kunnen omleiden naar een site met onveilige inhoud.
Om dit risico in Windows Server 2016 te verkleinen, kunt u cachevergrendeling gebruiken om te bepalen wanneer informatie in de DNS-resolvercache kan worden overschreven. Wanneer u cachevergrendeling inschakelt, staat de DNS-server geen updates van in de cache opgeslagen records toe totdat de TTL verloopt.
Om cachevergrendeling te configureren, voert u op uw DNS-server Set-DnsServerCache –LockingPercent <waarde> Windows PowerShell-opdracht uit. De <waarde> die u invoert is een percentage van de TTL. Als u bijvoorbeeld 75 typt, staat de DNS-server geen updates van het in de cache opgeslagen record toe totdat ten minste 75 procent van de TTL is verlopen.
Examentip
Standaard is de waarde van het cachevergrendelingspercentage 100, wat betekent dat items in de cache niet kunnen worden overschreven gedurende de volledige duur van de TTL.
1.1.6.7. Beperking van de responssnelheid inschakelen
Een andere beveiligingsfunctie die u in Windows Server 2016 kunt gebruiken, is het beperken van de responssnelheid, wat een verdediging is tegen DNS-denial-of-service-aanvallen. Een veelvoorkomende DNS-denial-of-service-aanval is om DNS-servers voor de gek te houden door grote hoeveelheden DNS-verkeer naar bepaalde DNS-servers te sturen, waardoor de doelservers overbelast raken.
Wanneer een geconfigureerde DNS-server met beperking van de responssnelheid potentieel kwaadaardige verzoeken identificeert, negeert deze deze in plaats van ze te verspreiden. De DNS-server kan potentieel kwaadaardige verzoeken identificeren omdat veel identieke verzoeken in een korte tijdsperiode van dezelfde bron verdacht zijn.
Standaard is het beperken van de responssnelheid uitgeschakeld. Voer de opdracht Set-DnsServerResponseRateLimiting Windows PowerShell-cmdlet uit om beperking van de responssnelheid in te schakelen. Dit maakt beperking van het responspercentage mogelijk met behulp van de standaardwaarden. U kunt ook opdrachtparameters opgeven om de beperking van de responssnelheid aan te passen.
1.1.6.8. Op DNS gebaseerde authenticatie van benoemde entiteiten configureren
Windows Server 2016 ondersteunt een nieuwe functie die bekend staat als DNS-Based Authentication of Named Entities (DANE). Deze functie is afhankelijk van het gebruik van Transport Layer Security Authentication (TLSA) en kan man-in-the-middle-aanvallen op uw netwerk helpen verminderen.
DANE werkt door DNS-clients die records van uw domein opvragen te informeren van welke certificeringsinstantie (CA) ze moeten verwachten dat digitale certificaten worden uitgegeven. Stel bijvoorbeeld dat een DNS-client het IPv4-adres opvraagt dat betrekking heeft op het record https://www.adatum.com. De DNS-server levert het gevraagde IPv4-adres en gerelateerde informatie. De DNS-server geeft echter ook informatie dat het certificaat dat wordt gebruikt om de identiteit van de webserver www.adatum.com te verifiëren, wordt geleverd door een bepaalde CA.
1.1.7. DNS beheren
Het is belangrijk dat u weet hoe u uw DNS-servers moet beheren. U kunt hulpprogramma’s zoals Windows PowerShell en de DNS Manager-console gebruiken om de DNS-servers in uw organisatie interactief te beheren. In grote bedrijfsomgevingen kan het echter moeilijk zijn om het beheer van zo’n kritieke service bij te houden. In deze omstandigheden kunt u overwegen DNS-beleid te implementeren, DNS-beheer te delegeren aan een gespecialiseerd team en DNS-logboekregistratie te gebruiken als een indicator van mogelijke problemen met DNS.
1.1.7.1. DNS-beleid implementeren
DNS-beleid is een nieuwe functie in Windows Server 2016 waarmee u kunt bepalen hoe een DNS-server zich in bepaalde omstandigheden gedraagt. We hebben bijvoorbeeld al gezien hoe u recursiebereiken kunt implementeren om DNS-recursie te controleren op basis van bepaalde factoren; dit is een voorbeeld van een DNS-beleid in actie.
U kunt een of meerdere DNS-beleidsregels maken, afhankelijk van uw organisatorische behoeften. Veelvoorkomende redenen voor het implementeren van DNS-beleid zijn onder meer:
- Hoge beschikbaarheid van applicaties – De DNS-server leidt clients om naar het gezondste eindpunt voor een applicatie, bijvoorbeeld op basis van factoren voor hoge beschikbaarheid in een failover-cluster.
- Verkeersbeheer – De DNS-server leidt clients door naar de dichtstbijzijnde server of datacenter.
- Split-brain DNS – De DNS-server reageert op clients op basis van of de client extern of intern is op het intranet van uw organisatie.
- Filteren – De DNS-server blokkeert DNS-query’s als deze afkomstig zijn van kwaadwillende hosts.
- Forensisch onderzoek – De DNS-server leidt kwaadaardige DNS-clients om naar een sinkhole in plaats van naar de host die ze proberen te bereiken.
- Op tijd gebaseerde omleiding – De DNS-server leidt clients om naar servers of datacenters op basis van de tijd.
Om DNS-beleid te implementeren, moet u Windows PowerShell-opdrachten gebruiken. U moet echter eerst groepen records in een DNS-zone, DNS-clients op een specifiek netwerk of andere kenmerken kunnen classificeren die kunnen helpen bij het identificeren van de DNS-clients. U kunt de volgende DNS-objecten gebruiken om uw DNS-clients te karakteriseren:
- Clientsubnet – Het IPv4- of IPv6-subnet dat de DNS-clients bevat.
- Recursiebereik – De unieke exemplaren van een groep instellingen die de DNS-serverrecursie regelen.
- Zonebereik – Bevat een eigen set DNS-bronrecords. Een record kan in meerdere scopes bestaan, elk met een ander IP-adres, afhankelijk van de scope. DNS-zones kunnen meerdere zonebereiken hebben.
Om DS-beleid te implementeren, moet u eerst een of meer van de bovenstaande objecten definiëren om uw DNS-clients en -bereiken te classificeren.
- Als u bijvoorbeeld een subnet voor DNS-clients in New York wilt maken, gebruikt u de volgende opdracht:
Add-DnsServerClientSubnet -Name "NYCSubnet" -IPv4Subnet "172.16.0.0/24"
- U moet meerdere clientsubnetobjecten maken op basis van het IPv4- of IPv6-subnetadres.
- Vervolgens maakt u een DNS-zonebereik voor New Yorkse DNS-clients met de volgende opdracht:
Add-DnsServerZoneScope -ZoneName "Adatum.com" -Name "NYCZoneScope"
- Nogmaals, u zou meerdere zonebereiken moeten maken op basis van uw vereisten.
- Voer vervolgens de volgende opdracht uit om een specifiek IP-adresrecord voor clients in het zonebereik van New York City te maken:
Add-DnsServerResourceRecord -ZoneName "Adatum.com" -A -Name "www" -IPv4Address "172.16.0.41" -ZoneScope "NYCZoneScope"
- Ten slotte maakt u het beleid dat de DNS-server instrueert om te reageren op basis van de eerder gedefinieerde factoren:
Add-DnsServerQueryResolutionPolicy -Name "NYCPolicy" -Action ALLOW -ClientSubnet "eq,NYCSubnet" -ZoneScope "NYCZoneScope,1" -ZoneName "Adatum.com"
Als een client in het subnet van New York een DNS-server verzoekt om het IPv4-adres van de www.adatum.com-host, antwoordt de DNS-server met het IP-adres 172.16.0.41. Als u andere subnetten en zonebereiken voor andere locaties maakt, kunt u de DNS-server opdracht geven om te reageren met een ander IP-adres voor clientquery’s vanaf andere locaties.
1.1.7.2. Gedelegeerd beheer configureren
Standaard beschikken de volgende groepen over beheermogelijkheden via de DNS-servers van uw organisatie:
- – Heeft volledige machtigingen om alle aspecten van de DNS-server in zijn thuisdomein te beheren.
- – Heeft volledige machtigingen om alle aspecten van alle DNS-servers in elk domein in uw AD DS-forest te beheren.
- – Kunnen alle DNS-gegevens, instellingen en configuraties van DNS-servers in hun thuisdomein bekijken en wijzigen.
In een klein tot middelgroot netwerk is het over het algemeen acceptabel om deze standaardinstellingen te gebruiken. In grote netwerkomgevingen kan het echter voordelig zijn om het beheer voor aspecten van DNS-beheer aan verschillende teams te delegeren.
Als u besluit DNS Server-beheer te delegeren aan een andere gebruiker of groep, kunt u die gebruiker of groep toevoegen aan de DnsAdmins-groep voor een bepaald domein in het forest. Als u het lidmaatschap van deze groep wilt wijzigen, kunt u Active Directory: gebruikers en computers of de cmdlet Windows PowerShell Add-ADGroupMember gebruiken.
Om DNS-beheermachtigingen te configureren, klikt u met de rechtermuisknop op de juiste DNS-server of DNS-zone in de DNS Manager-console en klikt u vervolgens op Eigenschappen. In het dialoogvenster Servereigenschappen of Zone-eigenschappen kunt u op het tabblad Beveiliging de machtigingen voor de server of zone bekijken en wijzigen, zoals weergegeven in Afbeelding 1-12.
1.1.7.3. DNS-logboekregistratie configureren
Logboekregistratie inschakelen kan zeer nuttig zijn voor proactieve monitoring, vooral wanneer u slechte prestaties of onecht en onverwacht servicegedrag onderzoekt. DNS legt standaard gebeurtenissen vast in een DNS-serverlogboek dat u kunt bekijken met Event Viewer. Het DNS-serverlogboek bevindt zich onder het knooppunt Toepassings- en serviceslogboeken, zoals weergegeven in de volgende afbeelding.
Dit logboek bevat veelvoorkomende DNS-gerelateerde gebeurtenissen, zoals het starten en stoppen van services, zoneondertekeningsgebeurtenissen, configuratiewijzigingen en veelvoorkomende waarschuwingen en fouten.
U kunt ook meer gedetailleerde logboekregistratie inschakelen met foutopsporingsregistratie. Wees echter voorzichtig bij het inschakelen van logboekregistratie voor foutopsporing, aangezien dit de DNS-server kan belasten, wat van invloed kan zijn op de servicelevering. Logboekregistratie voor foutopsporing biedt de volgende aanvullende details:
- Pakketrichting (uitgaand of inkomend)
- Pakketinhoud (query’s/overdrachten, updates of meldingen)
- Transportprotocol (UDP of TCP)
- Pakkettype (verzoek of antwoord) Pakketten filteren op IP-adres
- Naam en locatie van het logbestand, dat standaard is ingesteld op de map %systemroot%\System32\DNS
- Maximale maximale grootte van logbestand
Logboekregistratie voor foutopsporing inschakelen vanuit de DNS Manager-console:
- Klik met de rechtermuisknop op de relevante DNS-server en klik vervolgens op Eigenschappen.
- Klik in het dialoogvenster Servereigenschappen op het tabblad Logboekregistratie foutopsporing, zoals weergegeven in de volgende afbeelding, schakel het selectievakje Logpakketten voor foutopsporing in, selecteer de gebeurtenissen waarvoor u wilt dat de DNS-server de foutopsporingslogboeken registreert en klik vervolgens op OK.
1.1.7.4. DNS-prestatie-afstelling implementeren
De DNS-serverrol kan, net als andere serverrollen en services, worden beïnvloed door de slechte prestaties van uw server. Slechte prestaties worden vaak veroorzaakt door een gebrek aan serverbronnen: geheugen, CPU, voldoende schijfdoorvoer en netwerkbandbreedte. U kunt algemene tools, zoals Performance Monitor, gebruiken om te meten of deze resources voldoende zijn op uw server en om te bepalen welke resources een bottleneck veroorzaken.
Wanneer een of meer van deze resources onvoldoende zijn, ontstaat er een prestatieknelpunt. De oplossing is om te identificeren welke resource het knelpunt heeft en om die resource te optimaliseren, vaak door meer van die resource toe te voegen. Het alternatief is om de belasting te verdelen door extra DNS-servers toe te voegen.
De twee belangrijkste bronnen in de DNS-serverrol zijn CPU en geheugen. Het tabblad DNS in de Server Manager-console biedt een deelvenster Prestaties dat u kunt gebruiken om deze twee kritieke bronnen te bewaken, zoals weergegeven in de volgende afbeelding.
Als u deze bronnen wilt controleren, klikt u op Taken en vervolgens op Prestatiewaarschuwingen configureren. In het dialoogvenster DNS-server: prestatiewaarschuwingen configureren, kunt u drempelwaarden voor waarschuwingen configureren voor zowel CPU (gebruikspercentage) als geheugen (MB beschikbaar), zoals weergegeven in de volgende afbeelding. Klik op Opslaan als je klaar bent.
Afgezien van deze fundamentele kenmerken van serverprestaties, kunt u de DNS-server configureren om de DNS-respons te helpen optimaliseren. Als u bijvoorbeeld een DNS-server toestemming geeft om recursie uit te voeren, wordt de DNS-server extra belast wanneer deze geen gezaghebbend antwoord op een clientquery kan geven. Door recursie uit te schakelen, kunt u de belasting van die DNS-server verminderen, maar dit gaat ten koste van het gebruik van recursie. Evenzo voorkomt het verwijderen van roothints dat een server namens clients de internet-DNS-structuur opvraagt, wat de werklast vermindert.
Veel van de prestatiegerelateerde beslissingen die u neemt, kunnen van invloed zijn op de manier waarop naamomzetting binnen uw organisatie werkt. Dat betekent dat je goed over die impact moet nadenken. Om u te helpen bij het plannen van DNS-optimalisatie, moet u een standaard DNS-server maken en vervolgens prestatiebewaking op de server uitvoeren terwijl deze onder een typische querybelasting staat. U kunt hulpprogramma’s gebruiken, zoals de industriestandaard dnsperf-tool, om de optimale waarde voor query’s per seconde voor uw standaardserver te bepalen.
1.1.7.5. Implementeer en configureer globale DNS-instellingen met Windows PowerShell
Tot dusverre hebt u in dit hoofdstuk gezien dat u veel van de implementatie- en configuratietaken op DNS-servers kunt uitvoeren met behulp van Windows PowerShell. In hoofstuk 1.2: DNS-zones en -records maken en configureren, verkent u meer Windows PowerShell-cmdlets voor de DNS-serverrol.
1.2. DNS-zones en -records maken en configureren
Hoewel DNS is gebaseerd op het concept van domeinen en subdomeinen, slaat u informatie over deze domeinen en subdomeinen en de relatie daartussen op in DNS-zones. U kunt een DNS-zone beschouwen als een of meer domeinen en subdomeinen van uw DNS-infrastructuur.
De domeinen Adatum.com en sales.adatum.com kunnen bijvoorbeeld beide zijn opgeslagen in een DNS-zone met de naam Adatum.com, of sales.adatum.com kan worden opgeslagen in een gedelegeerde zone met de naam sales.adatum.com, terwijl de bovenliggende domein, Adatum.com, wordt opgeslagen in een eigen zone.
U kunt de zone opslaan in bestanden op de DNS-server of in de Active Directory Domain Services (AD DS)-database. Het is belangrijk dat u weet hoe en wanneer u primaire en secundaire zones, gedelegeerde zones, AD DS-geïntegreerde zones en stub-zones moet maken.
1.2.1. Overzicht van DNS-zones
Zones worden door DNS-servers gebruikt om DNS-query’s van clients op te lossen. Gewoonlijk voeren clients forward lookup-query’s uit waarbij een hostnaam moet worden omgezet in het corresponderende Internet Protocol Version 4 (IPv4) of Internet Protocol Version 6 (IPv6)-adres. Forward lookup-query’s worden opgelost door te verwijzen naar forward lookup-zones.
Forward lookup-zones bevatten een verscheidenheid aan DNS-recordtypes (besproken in de volgende sectie):
Minder vaak vraagt een DNS-client een DNS-server naar de naam van een host wanneer deze het IPv4- of IPv6-adres van de host heeft. Dit wordt een reverse lookup genoemd en wordt voldaan door te verwijzen naar een reverse lookup-zone. Omgekeerde opzoekzones bevatten aanwijzerrecords (PTR).
Voordat u uw zone aanmaakt, moet u eerst bepalen of de zone een zone voor voorwaartse of achterwaartse opzoeking is. Vervolgens moet u bepalen of de zone primair, secundair of AD DS-geïntegreerd is. Strikt genomen is het niet de zone die primair of secundair is. In plaats daarvan is het de lokale kopie van de zone die primair of secundair is. Met andere woorden, om een secundaire zone voor Adatum.com te hebben, moet er al een primaire zone voor Adatum.com bestaan op een andere DNS-server waarvan de secundaire zone de zonegegevens kan verkrijgen.
Wanneer u de DNS-serverrol voor het eerst implementeert in Windows Server 2016, bevat het DNS Manager-consolenavigatievenster het serverknooppunt en daaronder knooppunten voor Forward Lookup Zones, Reverse Lookup Zones, Trust Points en Conditional Forwarders. Deze knooppunten zijn allemaal leeg totdat u zones begint te maken op de DNS-server.
1.2.2. DNS-zones configureren
Windows Server 2016 ondersteunt een aantal verschillende zonetypen. Deze omvatten primaire zones, secundaire zones en geïntegreerde Active Directory-zones. Het is belangrijk dat u weet hoe u deze verschillende soorten zones kunt maken en configureren.
1.2.2.1. Primaire zones maken
Een primaire zone is een beschrijfbare kopie van een DNS-zone die bestaat op een DNS-server. Gebruik de volgende procedure om een primaire zone te maken in de DNS Manager-console:
- Klik met de rechtermuisknop op het knooppunt Forward Lookup Zones en klik vervolgens op Nieuwe zone.
- Klik in de wizard Nieuwe zone op de pagina Welkom bij de wizard Nieuwe zone op Volgende.
- Selecteer op de pagina Zonetype Primaire zone, zoals weergegeven in de volgende afbeelding, en klik vervolgens op Volgende.
- Typ op de pagina Zonenaam in het vak Zonenaam de zonenaam. Typ bijvoorbeeld Contoso.com. Klik volgende.
- Op de pagina Zonebestand:
- Als u een DNS-zonebestand hebt waarmee u uw zone kunt vullen (bijvoorbeeld van een andere DNS-server), klikt u op Dit bestaande bestand gebruiken, geeft u het pad naar het bestand op en klikt u vervolgens op Volgende.
- Als u geen bestaand zonebestand hebt, klikt u op Een nieuw bestand maken met deze bestandsnaam en vervolgens op Volgende. De volgende afbeelding toont de bestandsnaam die automatisch wordt aangemaakt wanneer u deze optie kiest.
- Kies op de pagina Dynamische update, weergegeven in de volgende afbeelding, een van de volgende opties en klik vervolgens op Volgende:
- Alleen veilige dynamische updates toestaan (aanbevolen voor Active Directory) – Met deze optie kunnen clients die dynamische DNS ondersteunen, hun records in de DNS-zone bijwerken, bijvoorbeeld wanneer een clientcomputer een ander IPv4-adres verkrijgt van een DHCP-server (Dynamic Host Configuration Protocol). Deze optie vereist dat elk DNS-record een eigenaar heeft: de entiteit die het oorspronkelijke record heeft geregistreerd. Alleen de eigenaar kan het record bijwerken, wat u helpt uw DNS-records te beveiligen. Deze optie is alleen beschikbaar als u een AD DS-geïntegreerde zone aanmaakt.
- Sta zowel niet-beveiligde als beveiligde dynamische updates toe – Met deze optie kunnen clients die dynamische DNS ondersteunen ook hun records in de DNS-zone bijwerken. Het ondersteunt ook niet-beveiligde dynamische updates.
- Dynamische updates niet toestaan – Kies deze optie als u alle DNS-records handmatig wilt bijhouden.
- Klik op de pagina De wizard Nieuwe zone voltooien op Voltooien.
Nadat u uw primaire zone hebt gemaakt, kunt u de oorspronkelijke inhoud van de zone bekijken met behulp van de DNS Manager-console, zoals weergegeven in de volgende afbeelding. Het bevat het Start of Authority (SOA) record en een Name Server (NS) record. Deze twee records bepalen welke computer(s) verantwoordelijk of gezaghebbend zijn voor de zone.
U kunt ook een primaire zone toevoegen met behulp van de Add-DnsServerPrimaryZone Windows PowerShell-cmdlet. Als u bijvoorbeeld hetzelfde proces als in het voorgaande voorbeeld wilt voltooien met behulp van Windows PowerShell, voert u de volgende opdracht uit:
Add-DnsServerPrimaryZone -Name "Contoso.com" -ZoneFile "Contoso.com.dns" -DynamicUpdate None
Nadat u de primire zone hebt gemaakt, kunt u deze opnieuw configureren vanuit de DNS Manager-console door met de rechtermuisknop op de zone in het navigatievenster te klikken en op Eigenschappen te klikken. U kunt vervolgens de volgende eigenschappen configureren op elk van de volgende tabbladen:
- Algemeen – U kunt het zonetype, de naam van het zonebestand, de instelling voor dynamische updates wijzigen en veroudering en opruiming configureren.
- Start of Authority (SOA) – Getoond in de volgende afbeelding, kunt u het SOA-record opnieuw configureren. Dit omvat de Fully Qualified Domain Name (FQDN) van de primaire server, de contactgegevens van de verantwoordelijke persoon en de intervallen voor vernieuwen, opnieuw proberen en verlopen. Deze intervallen bepalen:
- Vernieuwingsinterval – De frequentie waarmee andere DNS-servers die de zone hosten, de zonegegevens moeten vernieuwen.
- Interval – voor opnieuw proberen Het interval waarmee andere DNS-servers een vernieuwingsbewerking opnieuw proberen.
- Verloopt na – De tijdsduur na het niet vernieuwen van zonegegevens waarbij andere DNS-servers aannemen dat de zonegegevens zijn verlopen.
Het tabblad Start of Authority (SOA) bevat ook de Minimum (Default) TTL-waarde. Dit is de waarde die bepaalt hoe lang records in deze zone in de cache kunnen worden opgeslagen door andere recursieve DNS-servers.
- Naamservers – Gebruik dit tabblad om de naam en IP-adressen van andere DNS-servers die deze zone hosten toe te voegen, te verwijderen of te bewerken.
- Zoneoverdrachten – Gebruik dit tabblad om te configureren hoe de zonegegevens worden overgedragen naar andere naamservers die kopieën van de zone hosten.
- WINS – Gebruik dit tabblad om Windows Internet Name Service (WINS) en DNS-integratie te configureren. WINS ondersteunt de resolutie van NetBIOS-namen. Tegenwoordig minder relevant, gebruiken NetBIOS-namen een niet-hiërarchische structuur op basis van een naam van 16 tekens. Als u de optie WINS Forward Lookup gebruiken inschakelt, kan de DNS-server reageren op verzoeken om NetBIOS-namen zonder dat de clientcomputer rechtstreeks een verzoekschrift moet indienen bij een WINS-server.
U kunt de zone-eigenschappen configureren met behulp van de Set-DnsServerPrimaryZone Windows PowerShell-cmdlet. Als u bijvoorbeeld de instellingen voor de dynamische update van de primaire zone van Contoso.com wilt wijzigen met Windows PowerShell, voert u de volgende opdracht uit:
Set-DnsServerPrimaryZone -Naam "Contoso.com" -DynamicUpdate "NonsecureAndSecure"
1.2.2.2. Secundaire zones maken en configureren
Het maken van een secundaire zone is een ander proces dan een primaire zone. Dit komt omdat een secundaire zone een alleen-lezen kopie van een zone host, die het van een andere DNS-server verkrijgt.
Om een secundaire zone te maken, moet u de naam van de zone kennen en de naam en het IP-adres hebben van een DNS-server die een kopie van de zone host.
Examentip
De naamserver die u opgeeft als bron voor een secundaire zone hoeft geen primaire kopie van de zone te hosten. U kunt een secundaire zoneserver naar een andere secundaire zoneserver verwijzen. Er moet echter ergens een primaire kopie van de zone bestaan.
U kunt de DNS Manager-console gebruiken om een secundaire zone te maken. Gebruik hiervoor de volgende procedure:
- Klik met de rechtermuisknop op het knooppunt Forward Lookup Zones en klik vervolgens op Nieuwe zone.
- Klik in de wizard Nieuwe zone op de pagina Welkom bij de wizard Nieuwe zone op Volgende.
- Selecteer op de pagina Zonetype de optie Secundaire zone en klik vervolgens op Volgende.
- Typ op de pagina Zonenaam in het vak Zonenaam de zonenaam en klik op Volgende.
- Typ op de pagina Hoofd-DNS-servers in de lijst Hoofdservers het FQDN- of IP-adres van de server die een kopie van de zone host, druk op Enter en klik vervolgens op Volgende, zoals weergegeven in de volgende afbeelding.
- Klik op de pagina De wizard Nieuwe zone voltooien op Voltooien.
Nadat u de secundaire zone hebt toegevoegd, moet u de hoofd-DNS-server configureren die u hebt opgegeven. Dit is om zoneoverdrachten naar uw secundaire server mogelijk te maken. Om deze stap uit te voeren, schakelt u over naar de DNS Manager-console op de masterserver en voert u de volgende procedure uit:
- Klik met de rechtermuisknop op de juiste zone en klik vervolgens op Eigenschappen.
- Klik op het tabblad Naamservers in de lijst Naamservers op Toevoegen om de FQDN en het IP-adres op te geven van de DNS-server die de secundaire kopie van de zone host, zoals weergegeven in de volgende afbeelding. Klik OK.
- Klik op het tabblad Zoneoverdrachten.
- Schakel het selectievakje Zoneoverdrachten toestaan in. Kies vervolgens, zoals weergegeven in de volgende afbeelding, een van de volgende opties:
- Naar elke server.
- Alleen voor servers die worden vermeld op het tabblad Naamservers.
- Alleen naar de volgende servers (Als u deze optie kiest, moet u op Bewerken klikken om de lijst met naamservers op te geven die u wilt toestaan).
- Klik op Notify.
- Selecteer in het dialoogvenster Melden de Servers vermeld op het tabblad Naamservers of klik op De volgende servers en typ vervolgens de IP-adressen van de secundaire naamservers die u op de hoogte wilt stellen.
- Klik tweemaal op OK om de configuratie te voltooien. Schakel vervolgens terug naar de DNS Manager-console op de server die de secundaire zone host. U zou moeten zien dat de DNS-records in de secundaire zone worden ingevuld. Als dit niet onmiddellijk gebeurt, klikt u met de rechtermuisknop op de secundaire zone en klikt u vervolgens op Overdragen van master.
U kunt de Add-DnsServerSecondaryZone Windows PowerShell-cmdlet gebruiken om een secundaire zone te maken. Met de volgende opdracht wordt bijvoorbeeld een secundaire zone gemaakt voor de zone Adatum.com:
Add-DnsServerSecondaryZone -Naam "Adatum.com" -ZoneFile "Adatum.com.dns" -MasterServers 172.16.0.10
1.2.2.3. Delegatie configureren
DNS-delegatie is wanneer een DNS-server autoriteit over een deel van zijn naamruimte delegeert aan een of meer andere DNS-servers. Adatum.com en sales.adatum.com kunnen bijvoorbeeld worden gehost in dezelfde zone, Adatum.com, waarbij sales.adatum.com slechts een subdomeinrecord is. In dit geval zijn de gezaghebbende DNS-servers voor Adatum.com en sales.adatum.com hetzelfde. Het is niet nodig dat de DNS-servers in Adatum.com recursieve DNS-servers naar een ander domein verwijzen.
U kunt ook een aparte zone maken voor zowel Adatum.com als sales.adatum.com, elk met hun eigen DNS-servers. Omdat het ene domein, sales.adatum.com, een onderliggend domein is van een ander domein, Adatum.com, moet er een methode bestaan om de gezaghebbende naamservers voor het subdomein te lokaliseren. Deze methode wordt delegatie genoemd en is in wezen een verwijzing naar de gezaghebbende naamservers voor een subdomein.
In de volgende afbeelding zie je twee DNS-zones: Adatum.com, die een subdomein bevat, marketing.adatum.com, en een tweede zone, sales.adatum.com, die één domein bevat, sales.adatum.com .
Houd rekening met het volgende wanneer u bepaalt of u een subdomein wilt delegeren:
- Uw DNS-zones groot zijn en met delegatie kunt u de zone in kleinere stukken verdelen binnen uw organisatie.
- Organisatorische veranderingen, zoals fusies en overnames, betekenen dat u extra subdomeinen moet beheren.
- U een gedistribueerde beheerstructuur heeft en wilt dat verschillende afdelingen of locaties verantwoordelijk zijn voor het beheer van hun eigen DNS-naamruimten.
Voer de volgende procedure uit om een DNS-delegering te maken in de DNS Manager-console:
- Klik met de rechtermuisknop op de bovenliggende zone. Klik bijvoorbeeld met de rechtermuisknop op Adatum.com en klik vervolgens op Nieuwe delegatie. De wizard Nieuwe delegatie wordt gestart.
- Klik in de wizard Nieuwe delegatie op de welkomstpagina op Volgende.
- Typ op de pagina Gedelegeerde domeinnaam, zoals weergegeven in de volgende afbeelding, in het vak Gedelegeerd domein de naam van het subdomein. Typ bijvoorbeeld Verkoop. Het achtervoegsel wordt automatisch toegevoegd. Klik volgende.
- Klik op de pagina Naamservers op Toevoegen.
- Typ in het dialoogvenster Nieuwe naamserverrecord in het vak Server Fully Qualified Domain name (FQDN) de naam van de DNS-server die als host fungeert voor de nieuwe gedelegeerde zone, klik op Oplossen en klik vervolgens op OK.
- Klik op de pagina Naamservers op Volgende en klik vervolgens op Voltooien.
U kunt de Add-DnsServerZoneDelegation Windows PowerShell-cmdlet gebruiken om een gedelegeerde zone in een bestaande zone te maken. De volgende opdracht maakt bijvoorbeeld de gedelegeerde zone sales.adatum.com in de bestaande Adatum.com-zone:
Add-DnsServerZoneDelegation -Naam "Adatum.com" -ChildZoneName "Sales" -NameServer "ns1.Sales.Adatum.com" -IPAddress 172.16.0.136
Nadat u de overdracht hebt voltooid, moet u, indien nodig, DNS installeren op de naamserver die u in de wizard hebt opgegeven en de gedelegeerde zone maken, in dit geval sales.adatum.com.
1.2.2.4. Active Directory-integratie van primaire zones configureren
Traditionele DNS-zones zijn op bestanden gebaseerd en worden opgeslagen in het lokale bestandssysteem van de DNS-server. DNS-servers die de primaire kopie van een zone hosten, hebben een beschrijfbare versie van het DNS-zonebestand. Secundaire servers hebben alleen-lezen kopieën van het zonebestand; ze verkrijgen periodiek updates door een zoneoverdracht van hun geconfigureerde master te gebruiken, zoals je hebt gezien in Secundaire zones maken en configureren.
In een AD DS-omgeving hebt u de mogelijkheid om AD DS-geïntegreerde zones te maken. In deze situatie zijn alle kopieën van de zonegegevens beschrijfbaar. Bovendien worden de zonegegevens veilig opgeslagen in Active Directory en veilig gerepliceerd als onderdeel van de AD DS-database.
De voordelen van het gebuik van AD DS-geïntegreerde zones zijn:
- Multimaster-updates – AD DS-geïntegreerde DNS-zones zijn multimaster en updates kunnen worden aangebracht in elke kopie van de zonegegevens. Dit zorgt voor redundantie in uw DNS-infrastructuur. Als uw organisatie dynamische updates in de DNS-zone implementeert, kunnen geografisch externe DNS-clients hun records bijwerken door verbinding te maken met de dichtstbijzijnde DNS-server.
- Gerepliceerd met AD DS-replicatie – AD DS-replicatie is gebaseerd op kenmerkniveau. Dit betekent dat alleen gewijzigde kenmerken, in plaats van hele records, worden gerepliceerd. Dit betekent dat het volume van zonetransferverkeer kan worden verminderd.
- Veilige dynamische updates – U kunt veilige dynamische updates implementeren in een AD DS-geïntegreerde zone. Dit wordt besproken in de volgende sectie.
- Verbeterde beveiliging – U kunt het beheer van AD DS-geïntegreerde zone, domeinen en bronrecords delegeren met de AD DS-toegangscontrolelijst op objectniveau (ACL) voor de zone.
Examentip
Wanneer u een nieuwe domeincontroller in uw AD DS-forest promoveert, wordt de DNS-serverrol automatisch geïmplementeerd. Dit kan worden geconfigureerd op de pagina Opties voor domeincontroller van de Active Directory Domain Services-configuratiewizard.
Wanneer u zones maakt op een DNS-server die ook een domeincontroller is, heeft u de mogelijkheid om een AD DS-geïntegreerde zone te installeren. Gebruik de volgende procedure om een AD DS-geïntegreerde DNS-zone te maken:
- Open DNS Manager op uw domeincontroller.
- Klik met de rechtermuisknop op het knooppunt Forward Lookup Zones en klik vervolgens op Nieuwe zone.
- Klik in de wizard Nieuwe zone op de pagina Welkom bij de wizard Nieuwe zone op Volgende.
- Selecteer op de pagina Zonetype Primaire zone, zoals weergegeven in de volgende afbeelding, selecteer het selectievakje De zone opslaan in Active Directory (alleen beschikbaar als de DNS-server een beschrijfbare domeincontroller is) en klik vervolgens op Volgende.
- Selecteer op de pagina Bereik replicatie van Active Directory, zoals weergegeven in de volgende afbeelding, de juiste optie voor zonereplicatie uit de volgende opties:
- Naar alle DNS-servers die worden uitgevoerd op domeincontrollers in dit forest – Met deze optie worden de zonegegevens gerepliceerd naar alle domeincontrollers die de DNS-serverrol in het forest uitvoeren.
- Naar alle DNS-servers die worden uitgevoerd op domeincontrollers in dit domein – Deze optie (de standaardinstelling) zorgt ervoor dat de zonegegevens worden gerepliceerd naar alle domeincontrollers met de DNS-serverrol in het huidige AD DS-domein.
- Naar alle domeincontrollers in dit domein (voor Windows 2000-compatibiliteit) – Deze optie biedt achterwaartse compatibiliteit met eerdere versies van Windows Server. Normaal gesproken zou u deze optie niet selecteren.
- Naar alle domeincontrollers die binnen het bereik van deze directorypartitie zijn gespecificeerd – Met directorypartities kunt u een AD DS-replicatiegrens maken die niet beperkt is tot alle domeincontrollers in het forest of het lokale domein. De optie is alleen beschikbaar als u een directorypartitie hebt gemaakt voordat u de DNS-zone configureert.
- Klik op Volgende.
- Typ op de pagina Zonenaam in het vak Zonenaam de zonenaam, bijvoorbeeld Contoso.com. Klik volgende.
- Kies op de pagina Dynamische update een van de volgende opties en klik vervolgens op Volgende.
- Alleen veilige dynamische updates toestaan (aanbevolen voor Active Directory)
- Sta zowel niet-beveiligde als beveiligde dynamische updates toe
- Geen dynamische updates toestaan
- Klik op de pagina De wizard Nieuwe zone voltooien op Voltooien.
U kunt ook een met AD DS geïntegreerde primaire zone maken met behulp van de Add-DnsServerPrimaryZone Windows PowerShell-cmdlet. Als u bijvoorbeeld hetzelfde proces als in het voorgaande voorbeeld wilt voltooien met behulp van Windows PowerShell, voert u de volgende opdracht uit:
Add-DnsServerPrimaryZone -Naam "Contoso.com" -ReplicationScope "Domein"
Op domeincontrollers kunnen bestaande standaard primaire zones worden geconverteerd naar AD DS-geïntegreerde zones. Klik in DNS Manager met de rechtermuisknop op de zone en klik vervolgens op Eigenschappen. Klik op de pagina Algemeen op Wijzigen en schakel vervolgens het selectievakje De zone opslaan in Active Directory (alleen beschikbaar als de DNS-server een beschrijfbare domeincontroller is) in. Klik tweemaal op OK.
1.2.2.5. Configureer veilige dynamische updates
Als u een met AD DS geïntegreerde primaire zone hebt geïmplementeerd, hebt u de mogelijkheid om beveiligde dynamische updates in te schakelen. Dynamische updates is een functie waarmee DNS-clients hun eigen DNS-records op hun geconfigureerde DNS-server kunnen bijwerken. Dit is met name handig wanneer een organisatie IP-configuratie toewijst aan netwerkclients met behulp van DHCP. Als een client een ander IP-adres verkrijgt van een DHCP-scope, kan deze deze wijziging automatisch registreren op DNS.
Met beveiligde dynamische updates wijst de DNS-server het eigendom toe aan de geregistreerde DNS-records, en alleen de eigenaar, de oorspronkelijke DNS-client, kan de records bijwerken. Om veilige dynamische updates in te schakelen, kunt u een van de volgende opties kiezen:
- Selecteer de optie Alleen veilige dynamische updates toestaan (aanbevolen voor Active Directory) op de pagina Dynamische updates van de wizard Nieuwe zone wanneer u een met AD DS geïntegreerde primaire zone maakt.
- Nadat u de met AD DS geïntegreerde primaire zone hebt gemaakt, klikt u in DNS Manager met de rechtermuisknop op de DNS-zone en klikt u vervolgens op Eigenschappen. Klik op de pagina Algemeen in de lijst Dynamische updates op Alleen beveiligen.
- Nadat u de met AD DS geïntegreerde primaire zone in Windows PowerShell hebt gemaakt, gebruikt u de opdracht Set-DnsServerPrimaryZone. Bijvoorbeeld: Set-DnsServerPrimaryZone -Naam “Contoso.com” -DynamicUpdate “Secure”
1.2.2.6. Aanmaken en configureren van stubzones
U kunt voorwaardelijk doorsturen gebruiken om queryverkeer om te leiden naar een aangewezen DNS-server. Als een DNS-query met voorwaardelijke doorsturen een specifieke domeinnaam bevat, bijvoorbeeld Contoso.com, wordt deze doorgestuurd naar een specifieke DNS-server. Zie “Forwarders, roothints, recursie en delegatie configureren” voor meer informatie over Conditional Forwarding.
Als alternatief kunt u ook een stubzone gebruiken om een vergelijkbaar resultaat te bereiken. Een stub-zone wordt door een DNS-server gebruikt om namen tussen twee afzonderlijke DNS-naamruimten op te lossen, bijvoorbeeld na een fusie of overname. Een stub-zone verschilt van conditioneel doorsturen doordat de stub-zone de volledige lijst met DNS-servers voor het andere domein bevat.
1.2.2.7. Voorwaardelijk doorsturen vergelijken met stub-zones
Stel je voor dat twee DNS-naamruimten, Adatum.com en Contoso.com, nu eigendom zijn van de A. Datum Corporation na een overname. Voor DNS-clients in het Adatum.com-domein om bronnen in het Contoso.com-domein te lokaliseren, is het gebruik van root-hints door Adatum.com DNS-servers vereist.
Om dit te voorkomen, kunt u in het domein Adatum.com DNS voorwaardelijke doorsturen configureren voor het domein Contoso.com. Met voorwaardelijke doorsturen configureert u naar welke DNS-server(s) in het Contoso.com-domein DNS-query’s moeten worden doorgestuurd.
U kunt ook een stub-zone gebruiken voor Contoso.com in het Adatum.com-domein. Deze stub-zone bevat de volledige lijst met DNS-servers die gezaghebbend zijn voor het vreemde domein. Deze lijst met servers wordt automatisch bijgewerkt.
Houd rekening met het volgende wanneer u overweegt of u voorwaardelijke doorschakeling of stub-zones wilt gebruiken:
- U moet handmatig voorwaardelijke doorstuurrecords bijhouden, terwijl stub-zones automatisch worden onderhouden.
- Met conditioneel doorsturen kunt u de specifieke buitenlandse DNS-server aanwijzen waarnaar query’s moeten worden doorgestuurd, maar met een stub-zone kunt u dit niet.
1.2.2.8. Een stub-zone maken
U kunt de volgende procedure gebruiken om een stubzone te maken. Open DNS-beheer en dan:
- Klik met de rechtermuisknop op het knooppunt Forward Lookup Zones en klik vervolgens op Nieuwe zone.
- \Klik in de wizard Nieuwe zone op de pagina Welkom bij de wizard Nieuwe zone op Volgende.
- Selecteer op de pagina Zonetype Stub Zone en klik vervolgens op Volgende.
- Typ op de pagina Zonenaam in het vak Zonenaam de DNS-domeinnaam voor het vreemde domein en klik op Volgende.
- Als u op de pagina Zonebestand een DNS-zonebestand hebt dat u gebruikt om uw zone te vullen (bijvoorbeeld van een andere DNS-server), klikt u op Dit bestaande bestand gebruiken, specificeert u het pad naar het bestand op de pagina Zonebestand, en klik vervolgens op Volgende.
- Typ op de pagina Hoofd-DNS-servers in de lijst Hoofdservers het IP-adres of FQDN van de DNS-server in het vreemde domein waarvan de DNS-server zone-updates verkrijgt, en klik vervolgens op Volgende.
- Klik op Voltooien om de stubzone te maken.
U moet nu de stub-zone vullen met de vereiste records, waaronder het Start of Authority (SOA)-record en de Host- (A) en NS-records die betrekking hebben op de externe DNS-servers en worden opgehaald van de specifieke masterserver(s) . Om deze taak handmatig uit te voeren, klikt u in DNS Manager met de rechtermuisknop op de stub-zone en vervolgens op Overdragen van master.
U kunt de Windows PowerShell Add-DnsServerStubZone-cmdlet gebruiken om een stub-zone te maken. Als u bijvoorbeeld een stub-zone voor Contoso.com wilt maken, gebruikt u de volgende opdracht:
Add-DnsServerStubZone -Naam "Contoso.com" -MasterServers "172.16.0.66" -ZoneFile "Contoso.dns"
Examentip
U kunt AD DS-geïntegreerde stub-zones maken in de DNS Manager-console of met behulp van Windows PowerShell. Als u Windows PowerShell wilt gebruiken, vervangt u de zonefile-parameter door ReplicationScope.
1.2.2.9. Een GlobalNames-zone configureren
Sommige oudere netwerkapps vertrouwen op een niet-hiërarchische naamgevingsstandaard die bekend staat als NetBIOS. In het verleden moesten netwerkclients die toegang hadden tot deze apps deze enkelvoudige NetBIOS-namen kunnen omzetten. U kunt de WINS-serverfunctie gebruiken om te zorgen voor NetBIOS-naamregistratie, resolutie en vrijgave.
De nadelen van het gebruik van WINS zijn:
- Organisaties moeten twee naamservices onderhouden, met de daaruit voortvloeiende administratieve overhead.
- Netwerkclients gebruiken mogelijk zowel DNS als WINS om namen om te zetten, wat kan leiden tot vertraging in de naamomzetting.
Als alternatief voor WINS kunt u de DNS GlobalNames-zone in Windows Server 2016 gebruiken.
Wanneer clients single-label namen omzetten, zoals LON-SVR2, worden deze namen omgezet door te verwijzen naar de GlobalNames-zone. Een organisatie heeft slechts één GlobalNames-zone, die u handmatig moet maken. U moet de zone ook vullen met de vereiste CNAME-bronrecords die verwijzen naar de server- en app-bronnen van uw organisatie.
Gebruik de volgende procedure om de GlobalNames-zone te maken:
- Open Windows PowerShell.
- Voer de opdracht Set-DnsServerGlobalNameZone -AlwaysQueryServer $true uit om de zoneondersteuning van GlobalNames in te schakelen.
- Voer de opdracht Add-DnsServerPrimaryZone -Name GlobalNames -ReplicationScope Forest uit om de GlobalNames-zone te maken.
- Open DNS Manager en zoek het GlobalNames-zoneknooppunt.
- Maak de vereiste CNAME-records voor serverbronnen die nog steeds enkelvoudige namen gebruiken.
1.2.3. DNS-records configureren
Zones bevatten DNS-records die verwijzen naar naamservers, hosts, services of naar andere zones. Nadat u uw zones hebt gemaakt, moet u ze vullen met records die geschikt zijn voor het netwerk van uw organisatie. U moet ook bereid zijn om deze gegevens bij te houden om de nauwkeurigheid van zonegegevens te garanderen.
1.2.3.1. DNS-bronrecords maken en configureren
Er bestaat een DNS-server om naamomzetting voor DNS-clients te bieden. Om dit mogelijk te maken, moet u de DNZ-zones die u aanmaakt vullen met de juiste DNS-bronrecords. Deze bronrecords omvatten:
- Host – Een hostrecord—meestal gezien de afkorting A—bevat het IPv4-adres voor de opgegeven hostnaam. AAAA-records bevatten het IPv6-adres voor de opgegeven hostnaam. Dit zijn waarschijnlijk de meest voorkomende bronrecords en zijn te vinden in forward lookup-zones.
- Pointer – Deze records worden ook wel PTR-records genoemd en stellen een DNS-client in staat om een IPv4- of IPv6-adres om te zetten in een hostnaam. Deze records bestaan in zones voor reverse lookup.
- Begin van autoriteit – Het SOA-record wordt gemaakt wanneer u een primaire zone maakt en bevat informatie over de gezaghebbende server voor de zone, contactgegevens voor de zone en andere informatie, waaronder TTL-waarden voor bronrecords in de zone.
- Naamserver – Naamserverrecords (NS) identificeren de gezaghebbende naamservers in de zone, met inbegrip van zowel primaire als secundaire servers. Ze identificeren ook naamservers voor gedelegeerde zones.
- Servicelocatie – Deze records staan bekend als SRV-records en stellen u in staat per service, protocol en DNS-domeinnaam aan te geven welke servers bepaalde apps of services hosten. Als een DNS-client bijvoorbeeld op zoek is naar een webserver, kunt u SRV-records configureren voor de http-service, zodat clients alle servers kunnen vinden die die service leveren. Clients gebruiken vervolgens overeenkomstige A- of AAAA-records om de servernamen om te zetten in IP-adressen. Een SRV-record is complexer dan vele andere en bevat de volgende velden: _Service.Proto.Name TTL Class SRV Priority Weight Port Target. Bijvoorbeeld: http._tcp.Contoso.com. IN SRV 0 0 80 www.Contoso.com. AD DS-services, zoals de Kerberos-verificatieservice, gebruiken SRV-records om zichzelf te adverteren voor clients in een AD DS-netwerk.
- Alias – CNAME-records stellen u in staat een alias voor een host te maken. De server lonsvr2.adatum.com kan bijvoorbeeld een website hosten. U kunt voor deze host een alias maken met de naam www door een CNAME-record toe te voegen dat verwijst naar de FQDN van de lon-svr2-server.
- Mail Exchanger – MX-records worden gebruikt door Simple Mail Transfer Protocol (SMTP)-hosts voor het overbrengen van e-mail over internet. Om ervoor te zorgen dat een oorspronkelijke SMTP-host e-mail doorstuurt naar een ontvanger met het e-mailadres Dave@Contoso.com, moet de oorspronkelijke host weten welke hosts de e-mail op Contoso.com kunnen ontvangen. U maakt MX-records in de naamruimte van Contoso.com om te adverteren welke hosts deze service bieden. Om te zorgen voor een betrouwbare inkomende e-mailstroom, kunt u meerdere hosts adverteren door meerdere MX-records te gebruiken.
Aan elk kunnen dezelfde of verschillende mailserverprioriteiten of voorkeurswaarden worden toegewezen. Als u MX-records met dezelfde prioriteit implementeert, wordt er willekeurig e-mail naar gerouteerd, waardoor de belasting wordt verdeeld. Als u andere waarden gebruikt, wordt de lagere waarde eerst gebruikt door de oorspronkelijke server, zodat u een voorkeursserver voor inkomende berichten kunt opgeven.
U kunt deze records handmatig maken vanuit de DNS Manager-console. Klik met de rechtermuisknop op de juiste zone voor forward lookup (zone voor reverse lookup voor PTR-records) en klik vervolgens op de juiste optie voor het recordtype dat u wilt maken, zoals weergegeven in de volgende afbeelding.
Het maken van de resourcerecords is eenvoudig, maar verschilt enigszins voor elk recordtype, omdat u voor elk afzonderlijk verschillende informatie moet opgeven. Dit is echter een zeer intuïtief proces. Voor een nieuw hostrecord moet u bijvoorbeeld de naam en het IP-adres van de host opgeven. U kunt ook de optie selecteren om automatisch een PTR-record voor de host te maken. Voor een MX-record moet u de FQDN opgeven van de host die SMTP-e-mailondersteuning biedt, en een prioriteitswaarde voor de e-mailserver.
Als het gewenste recordtype niet in het contextmenu staat (bijvoorbeeld SRV), selecteert u Ander nieuw record in het contextmenu. Selecteer vervolgens het gewenste recordtype in het dialoogvenster Type bronrecord en klik vervolgens op Record maken, weergegeven in de volgende afbeelding. Deze lijst bevat alle recordtypen, ook de minder vaak gebruikte recordtypen.
U kunt de Add-DnsServerResourceRecord Windows PowerShell-cmdlet gebruiken om resourcerecords te maken. Met de volgende opdracht wordt bijvoorbeeld een host met de naam lon-svr2 gemaakt in het domein Contoso.com:
Add-DnsServerResourceRecord -ZoneName "Contoso.com" -A -Name "lon-svr2" -AllowUpdateAny -IPv4Address "172.16.0.27" -TimeToLive 01:00:00 -AgeRecord
1.2.3.2. Zone opruiming configureren
Bronrecords blijven vaak in een DNS-zone, ook al is de host die het record heeft geregistreerd niet langer actief. Dit staat bekend als een oud record. U kunt verouderingsinstellingen gebruiken om te bepalen wanneer de DNS-rol een verouderd record kan verwijderen. Deze verwijdering staat bekend als scavenging.
Twee parameters bepalen het opruimingsgedrag:
- Niet-vernieuwingsinterval – Het niet-vernieuwingsinterval is de periode dat het record niet in aanmerking komt voor verversing. Standaard is dit ook zeven dagen.
- Vernieuwingsinterval – Het verversingsinterval is de tijd dat het record in aanmerking komt voor verversing door de client. De standaardwaarde is zeven dagen.
Gewoonlijk kan een client-hostrecord niet worden vernieuwd gedurende zeven dagen nadat deze voor het eerst is geregistreerd (of vernieuwd). Maar dan moet het binnen de volgende zeven dagen worden ververst. Als dit niet het geval is, komt het record in aanmerking voor opruiming.
Examentip
Veroudering en opruiming van resourcerecords zijn standaard uitgeschakeld.
Om opruiming in te schakelen, moet u dit inschakelen op zowel de DNS-zone(s) als op de server(s) die deze zones hosten.
Veroudering en opruiming configureren in een DNS-zone:
- Klik in DNS Manager met de rechtermuisknop op de juiste zone en klik vervolgens op Eigenschappen.
- Klik op het tabblad Algemeen op Veroudering.
- Selecteer in het dialoogvenster Zoneveroudering/opruimingseigenschappen, weergegeven in de volgende afbeelding, het selectievakje Verouderde bronrecords opruimen en configureer vervolgens uw voorkeurswaarden voor interval voor niet-vernieuwing en interval voor vernieuwen.
- Klik tweemaal op OK.
U kunt zoneveroudering/opruiming ook inschakelen met de Set-DnsServerZoneAging Windows PowerShell-cmdlet. Bijvoorbeeld: Set-DnsServerZoneAging Contoso.com -Aging $True – ScavengeServers 172.16.0.10
Examentip
U kunt veroudering/opruiming voor alle zones configureren door met de rechtermuisknop op een server in de DNS Manager-console te klikken en vervolgens op Veroudering/opruiming instellen voor alle zones te klikken.
Opruiming configureren op een DNS-server, in de DNS Manager-console:
- Klik met de rechtermuisknop op de juiste DNS-server en klik vervolgens op Eigenschappen.
- Klik in het dialoogvenster Servereigenschappen op het tabblad Geavanceerd.
- Schakel het selectievakje Automatisch opruimen van oude records inschakelen in en geef vervolgens in het vak Opruimperiode het aantal dagen op en klik vervolgens op OK.
U kunt veroudering/opruiming van de DNS-server inschakelen met de Set-DnsServerScavenging Windows PowerShell-cmdlet. Bijvoorbeeld:
Set-DnsServerScavenging -RefreshInterval 7.00:00:00
Examentip
U kunt het opruimen forceren door met de rechtermuisknop op een server in de DNS Manager-console te klikken en vervolgens op Scavenge Stale Resource Records te klikken. U kunt ook de opdracht Start-DnsServerScavenging Windows PowerShell gebruiken.
1.2.3.3. Recordopties configureren
U kunt een aantal opties voor resourcerecords configureren, waaronder voorkeur, gewicht, prioriteit en levend koppelen.
1.2.3.4. Voorkeur, gewicht en prioriteit wijzigen
Aan sommige resourcerecords zijn voorkeurs-, gewichts- en prioriteitswaarden toegewezen. Deze worden gebruikt wanneer er meerdere records zijn die naar dezelfde service of server verwijzen en u wilt bepalen welke servers als eerste worden gebruikt. Een AD DS-domeincontroller registreert bijvoorbeeld de DNS-bronrecords van de Kerberos-verificatieservice met een prioriteitswaarde van 0 en een gewicht van 100, zoals weergegeven in de volgende afbeelding.
U kunt deze beginwaarden aanpassen om te bepalen welke Kerberos-verificatieserver door clients wordt gebruikt. DNS-clients proberen de server met de laagste prioriteitswaarde te gebruiken. Als meerdere servers dezelfde prioriteitswaarde hebben, gebruiken clients de server in verhouding tot hun gewichtswaarden. Evenzo, als er meerdere MX-records bestaan voor een e-maildomeinnaam, wordt de server met de laagste voorkeurswaarde gebruikt. U kunt deze waarden aanpassen met behulp van de DNS Manager-console of de cmdlets van Windows PowerShell Add-DnsServerResourceRecord of Set-DnsServerResourceRecord met behulp van de parameters Priority, Weight en Preference.
1.2.3.5. Time- to-live-waarden wijzigen
Alle resourcerecords hebben een time-to-live-waarde (TTL). De TTL wordt gebruikt om te bepalen hoe lang een record in de DNS-cache kan blijven van een DNS-client of DNS-server die het record onlangs heeft opgelost. Deze waarden moeten representatief zijn voor hoe vaak resourcerecords in uw organisatie veranderen. Als recordwaarden vrij statisch zijn, is een hogere TTL acceptabel. Als ze vaak veranderen, leidt het instellen van een te hoge TTL ertoe dat de DNS-cache verouderd is, met als gevolg fouten in de naamomzetting.
Examentip
Als u individuele TTL-waarden voor bronrecords in een zone wilt wijzigen met behulp van de DNS Manager-console, moet u de weergave Geavanceerd inschakelen. Klik in DNS Manager op Weergeven en klik vervolgens op Geavanceerd.
Om de TTL van een record in DNS Manager te wijzigen:
- Klik met de rechtermuisknop op een bronrecord en klik vervolgens op Eigenschappen.
- Typ in het dialoogvenster Recordeigenschappen in het vak Time to live (TTL) de gewenste waarde in dagen, uren, minuten en seconden en klik vervolgens op OK.
U kunt ook de cmdlets van Windows PowerShell Add-DnsServerResourceRecord of SetDnsServerResourceRecord gebruiken met de parameter -TimetoLive.
1.2.3.6. Ondersteuning voor onbekende records configureren
Windows Server 2016 voegt ondersteuning toe in de DNS-serverrol voor onbekende records. Onbekende records zijn bronrecords met een indeling die vreemd is aan de Microsoft DNS-server. Ondersteuning voor deze onbekende records betekent dat u de niet-ondersteunde recordtypen aan uw zones kunt toevoegen om specifieke apps te ondersteunen die ze nodig hebben. De Windows DNS-server voert geen recordspecifieke verwerking uit voor deze onbekende records, maar reageert wel op DNS-clientverzoeken voor deze records.
Examentip
U kunt de Add-DnsServerResourceRecord Windows PowerShell-cmdlet met de -Unknown parameter gebruiken om onbekende bronrecords te maken.
1.2.3.7. Round robin configureren
U kunt DNS-round robin gebruiken om de belasting te verdelen over servers die dezelfde service bieden. Als u bijvoorbeeld drie webservers in uw netwerk had en u de clientbelasting over alle drie gelijkelijk wilt verdelen, is een oplossing om hetzelfde hostbronrecord (www.contoso.com) te configureren en dit naar drie verschillende IP-adressen te verwijzen. . Bijvoorbeeld:
- www.contoso.com 60 IN A 172.16.0.10
- www.contoso.com 60 IN A 172.16.0.12
- www.contoso.com 60 IN A 172.16.0.14
Round robin werkt door te reageren op elk verzoek van een klant voor de oplossing van www.contoso.com met een anders geordende lijst met IP-adressen. Op het eerste verzoek wordt de server met het IPv4-adres van 172.16.0.10 bovenaan de lijst geretourneerd. Vervolgens wordt 172.16.0.12 als eerste in de lijst geretourneerd, enzovoort.
U configureert round robin op de DNS-server in het dialoogvenster Geavanceerde serverinstellingen. Het is standaard ingeschakeld. U kunt ook de Set-DnsServer Windows PowerShell-cmdlet gebruiken.
Examentip
U kunt ook netmaskervolgorde gebruiken om een vergelijkbaar resultaat te bereiken, maar in dit geval ontvangt een klant het resultaat dat het meest relevant is voor zijn locatie, op basis van zijn subnet.
1.2.4. DNS-bereiken configureren
Windows Server 2016 ondersteunt twee typen DNS-bereiken. Dit zijn recursiebereiken en zonebereiken. Recursiebereiken zijn een verzameling instellingen die het recursiegedrag in een DNS-zone definiëren, terwijl zonebereiken verzamelingen van bronrecords zijn. Als u DNS-bereiken wilt maken, configureren en toepassen, moet u het DNS-beleid van Windows Server 2016 gebruiken.
1.2.4.1. Zonebereik configureren
In Windows Server 2016 kunt u uw DNS-zones configureren om meerdere zonebereiken te hebben. Elk zonebereik bevat zijn eigen set DNS-bronrecords. Een bronrecord kan bestaan in meerdere zonebereiken, elk met verschillende IP-adressen, afhankelijk van het bereik. U kunt het zonebereik ook gebruiken om zoneoverdrachten te beheren, zodat bronrecords van een zonebereik in een primaire zone kunnen worden overgedragen naar hetzelfde zonebereik in een secundaire zone.
Meestal is de eerste stap bij het maken van een zonebereik het maken en configureren van clientsubnetten. U doet dit met verwijzing naar uw fysieke netwerktopologie. Als u bijvoorbeeld een subnet wilt maken voor DNS-clients in New York en een ander voor clients in Londen, gebruikt u de volgende Windows PowerShell-opdrachten:
Add-DnsServerClientSubnet -Naam "NYCSubnet" -IPv4Subnet "172.16.0.0/24"
Add-DnsServerClientSubnet -Naam "LONSubnet" -IPv4Subnet "172.16.1.0/24"
Vervolgens maakt u de DNS-zonebereiken voor DNS-clients in New York en Londen met behulp van de volgende opdrachten:
Add-DnsServerZoneScope -ZoneName "Adatum.com" -Name "NYCZoneScope" Add-DnsServerZoneScope -ZoneName "Adatum.com" -Name "LONZoneScope"
1.2.4.2. Records configureren in zonebereiken
Nadat u de zonebereiken hebt gemaakt, moet u deze vullen met resourcerecords. Nogmaals, u moet dit doen met Windows PowerShell. Voer de volgende opdracht uit om een specifiek IP-adresrecord te maken voor clients in het zonebereik van New York City:
Add-DnsServerResourceRecord -ZoneName "Adatum.com" -A -Name "www" -IPv4Address "172.16.0.41" -ZoneScope "NYCZoneScope"
Voer de volgende opdracht uit voor clients in het zonebereik London City:
Add-DnsServerResourceRecord -ZoneName "Adatum.com" -A -Name "www" -IPv4Address "172.16.1.22" -ZoneScope "LONZoneScope"
1.2.4.3. Beleid voor zones configureren
Ten slotte moet u het beleid maken dat de DNS-servers instrueert om te reageren op clientquery’s op basis van de eerder gedefinieerde factoren. Als u de DNS-servers wilt configureren om te reageren met bronrecords uit het zonebereik van New York, maakt u een DNS-beleid:
Add-DnsServerQueryResolutionPolicy -Name "NYCPolicy" -Action ALLOW -ClientSubnet "eq,NYCSubnet" -ZoneScope "NYCZoneScope,1" -ZoneName "Adatum.com"
Evenzo moet u voor clients die zijn gevestigd in het bereik van de Londense zone een ander beleid toevoegen:
Add-DnsServerQueryResolutionPolicy -Name "LONPolicy" -Action ALLOW -ClientSubnet "eq,LONSubnet" -ZoneScope "LONZoneScope,1" -ZoneName "Adatum.com"
Als een client in het subnet van New York een DNS-server verzoekt om het IPv4-adres van de www.adatum.com-host, antwoordt de DNS-server met het IP-adres 172.16.0.41. Als een klant in Londen hetzelfde record opvraagt, ontvangt de klant het IPv4-adres 172.16.1.22.
Opmerking DNS-beleid
Het implementeren van DNS-beleid wordt ook behandeld in “DNS-beleid implementeren”.
1.2.5. DNS controleren
Aangezien DNS zo’n kritieke service is, die naamomzetting en servicelocatie biedt voor geconfigureerde clients, is het belangrijk dat u ervoor zorgt dat DNS betrouwbaar werkt en is geoptimaliseerd. Om u te helpen dit te bereiken, kunt u een aantal controle- en controletools in Windows Server gebruiken.
1.2.5.1. DNS-audit en analytische gebeurtenissen gebruiken
Windows Server 2016 kan een enorme hoeveelheid loggegevens verzamelen. Veel van deze logboekregistratie is standaard ingeschakeld, maar functies zoals foutopsporingsregistratie (besproken in de sectie “DNS-registratie configureren”) moeten eerst worden ingeschakeld voordat u ze kunt gebruiken.
U kunt ook DNS-controlegebeurtenissen en DNS-analysegebeurtenissen gebruiken.
- DNS-controlegebeurtenissen – Deze zijn standaard ingeschakeld. Gebruik om het bijhouden van wijzigingen op uw DNS-servers in te schakelen. Elke keer dat een server-, zone- of bronrecord wordt bewerkt, wordt een auditgebeurtenis vastgelegd. Gebeurtenis-ID’s met de nummers 513 tot en met 582 worden in dit verband vastgelegd en worden uitgelegd op de volgende website.
- DNS-analysegebeurtenissen – Deze zijn standaard uitgeschakeld. Windows registreert een analytische gebeurtenis telkens wanneer de DNS-server DNS-informatie verzendt of ontvangt. Gebeurtenis-ID’s met de nummers 257 tot en met 280 worden in dit verband vastgelegd en worden uitgelegd op de onderstaande website.
1.2.5.2. Audit- en analytische gebeurtenissen bekijken
Gebruik de volgende procedure om auditgebeurtenissen te bekijken:
- Open Gebeurtenisviewer.
- Vouw Logboeken voor toepassingen en services uit, vouw Microsoft uit, vouw Windows uit en klik vervolgens op DNS-server.
- Klik op de map Audit, zoals weergegeven in de volgende afbeelding. Vanaf hier kunt u evenementen bekijken.
Gebruik de volgende procedure om analytische gebeurtenissen te bekijken:
- Open Gebeurtenisviewer.
- Vouw Logboeken voor toepassingen en services uit, vouw Microsoft uit, vouw Windows uit en klik vervolgens op DNS-server.
- Klik met de rechtermuisknop op DNS-server, klik op Weergeven en klik vervolgens op Analyse- en foutopsporingslogboeken weergeven. De logboekmappen Analytical en Audit worden weergegeven, zoals weergegeven in Afbeelding 1-33.
- Klik met de rechtermuisknop op Analytisch en klik vervolgens op Logboek inschakelen.
- Klik in het pop-upvenster Gebeurtenisviewer op OK.
1.2.5.3. Statistieken op zoneniveau analyseren
Geïntroduceerd in Windows Server 2012 R2 en verbeterd in Windows Server 2016, met statistieken op DNS-zoneniveau kunt u begrijpen hoe een DNS-server wordt gebruikt voor elke gezaghebbende zone op die server.
U kunt de volgende statistieken op zoneniveau verzamelen en bekijken:
- Zonequery’s geeft het aantal:
- Ontvangen query’s
- Geslaagde antwoorden
- Mislukte antwoorden op query’s
- Naam foutantwoorden
- Zoneoverdrachten Geeft het aantal zoneoverdrachten aan:
- Ontvangen verzoeken bij gebruik als primaire server voor een specifieke zone
- Aanvragen verzonden bij gebruik als secundaire server voor een specifieke zone
- Ontvangen verzoeken bij gebruik als secundaire server voor een specifieke zone
- Statistieken voor zoneoverdrachten geven ook het aantal zoneoverdrachten weer
- Ontvangen door de DNS Server-service bij gebruik als secundaire server voor een specifieke zone
- Verzonden door de DNS Server-service bij gebruik als masterserver voor een specifieke zone
- Zone-updates Geeft het totale aantal ontvangen
- Dynamische updateverzoeken ontvangen
- Dynamische updates afgewezen
Gebruik de Windows PowerShell Get-DnsServerStatistics-cmdlet om toegang te krijgen tot deze statistieken. Bijvoorbeeld:
Get-DnsServerStatistics -ZoneName "Adatum.com"
1.3. Samenvatting
- U kunt de DNS-serverrol installeren op Windows Server 2016 en Nano Server.
- Met DNS-forwarders, recursie en roothints kunt u de stroom van DNS-queryverkeer door het netwerk van uw organisatie beheren.
- U kunt DNSSEC, DNS-socketpool, cachevergrendeling, DANE en beperking van de responssnelheid implementeren om uw DNS-infrastructuur te beschermen tegen kwaadwillende aanvallen.
- Met DNS-beleid in Windows Server 2016 kunt u DNS-gedrag in uw hele organisatie configureren zonder dat u elke DNS-server handmatig hoeft te configureren.
- DNS-logboekregistratie kan u helpen problemen met de DNS-servers in uw organisatie op te sporen voordat ze uw gebruikers kunnen beïnvloeden.
- De rol van de DNS-server wordt beïnvloed door CPU- en geheugenbronnen, en proactieve bewaking van deze bronnen kan nuttig zijn.
- Hoewel de DNS-naamruimte is gebaseerd op domeinen en subdomeinen, worden de gegevens die deze naamruimte onderhouden, opgeslagen in DNS-zones.
- Secundaire zones ontvangen updates via hun geconfigureerde masterserver.
- Met DNS-delegatie kan een deel van uw DNS-naamruimte, zoals een onderliggend domein, gezaghebbend worden onderhouden in een aparte zone.
- Met AD DS geïntegreerde zones zorgen voor multimaster-updates, veilige replicatie en veilige dynamische updates.
- Voorwaardelijk doorsturen heeft een vergelijkbare functie als stubzones. DNS-bereiken zijn gebaseerd op DNS-beleid.