Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
U kunt dit onderwerp gebruiken voor informatie over het configureren van DNS-beleid in Windows Server® 2016 om queryfilters te maken die zijn gebaseerd op criteria die u opgeeft.
Met queryfilters in DNS-beleid kunt u de DNS-server zo configureren dat deze op een aangepaste manier reageert op basis van de DNS-query en DE DNS-client die de DNS-query verzendt.
U kunt bijvoorbeeld DNS-beleid configureren met de lijst met queryfilterblokkeringen waarmee DNS-query's van bekende schadelijke domeinen worden geblokkeerd, waardoor DNS niet reageert op query's van deze domeinen. Omdat er geen antwoord wordt verzonden vanaf de DNS-server, treedt er een time-out op voor de DNS-query van het kwaadwillende domeinlid.
Een ander voorbeeld is het maken van een queryfilter toegestaan lijst waarmee alleen een specifieke set clients bepaalde namen kan omzetten.
Queryfiltercriteria
U kunt queryfilters maken met elke logische combinatie (EN/OF/OF/NIET) van de volgende criteria.
| Name | Description |
|---|---|
| Clientsubnet | Naam van een vooraf gedefinieerd clientsubnet. Wordt gebruikt om het subnet te controleren waaruit de query is verzonden. |
| Transportprotocol | Transportprotocol dat in de query wordt gebruikt. Mogelijke waarden zijn UDP en TCP. |
| Internet Protocol | Het netwerkprotocol dat in de query wordt gebruikt. Mogelijke waarden zijn IPv4 en IPv6. |
| IP-adres van serverinterface | IP-adres van de netwerkinterface van de DNS-server die de DNS-aanvraag heeft ontvangen. |
| FQDN | De Fully Qualified Domain Name van het record in de query, met de mogelijkheid om een wildcard te gebruiken. |
| Querytype | Type record dat wordt opgevraagd (A, SRV, TXT, enzovoort). |
| Tijdstip van dag | Tijdstip waarop de query wordt ontvangen. |
In de volgende voorbeelden ziet u hoe u filters maakt voor DNS-beleid waarmee DNS-naamomzettingsquery's worden geblokkeerd of toegestaan.
Note
De voorbeeldopdrachten in dit onderwerp gebruiken de Windows PowerShell-opdracht Add-DnsServerQueryResolutionPolicy. Zie Add-DnsServerQueryResolutionPolicy voor meer informatie.
Query's van een domein blokkeren
In sommige gevallen wilt u dns-naamomzetting blokkeren voor domeinen die u hebt geïdentificeerd als schadelijk, of voor domeinen die niet voldoen aan de gebruiksrichtlijnen van uw organisatie. U kunt blokkerende query's voor domeinen uitvoeren met behulp van DNS-beleid.
Het beleid dat u in dit voorbeeld configureert, wordt niet gemaakt in een bepaalde zone. In plaats daarvan maakt u een beleid op serverniveau dat wordt toegepast op alle zones die op de DNS-server zijn geconfigureerd. Beleid op serverniveau is de eerste die moet worden geëvalueerd en dus eerst moet worden vergeleken wanneer een query wordt ontvangen door de DNS-server.
Met de volgende voorbeeldopdracht configureert u een beleid op serverniveau om query's met het domeinachtervoegsel contosomalicious.com te blokkeren.
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicy" -Action IGNORE -FQDN "EQ,*.contosomalicious.com" -PassThru
Note
Wanneer u de actieparameter configureert met de waarde IGNORE, wordt de DNS-server geconfigureerd om query's zonder antwoord te verwijderen. Hierdoor treedt er een time-out op voor de DNS-client in het schadelijke domein.
Query's van een subnet blokkeren
In dit voorbeeld kunt u query's van een subnet blokkeren als deze is geïnfecteerd door bepaalde malware en probeert contact op te maken met schadelijke sites via uw DNS-server.
' Add-DnsServerClientSubnet -Name 'MaliciousSubnet06' -IPv4Subnet 172.0.33.0/24 -PassThru
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06" -PassThru '
In het volgende voorbeeld ziet u hoe u de subnetcriteria kunt gebruiken in combinatie met de FQDN-criteria om query's voor bepaalde schadelijke domeinen van geïnfecteerde subnetten te blokkeren.
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06" –FQDN “EQ,*.contosomalicious.com” -PassThru
Een type query blokkeren
Mogelijk moet u naamomzetting blokkeren voor bepaalde typen query's op uw servers. U kunt bijvoorbeeld de 'ANY'-query blokkeren, die schadelijk kan worden gebruikt om amplificatieaanvallen te maken.
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyQType" -Action IGNORE -QType "EQ,ANY" -PassThru
Alleen query's vanuit een domein toestaan
U kunt niet alleen DNS-beleid gebruiken om query's te blokkeren. U kunt deze gebruiken om automatisch query's van specifieke domeinen of subnetten goed te keuren. Wanneer u Acceptatielijsten configureert, verwerkt de DNS-server alleen query's van toegestane domeinen, terwijl alle andere query's van andere domeinen worden geblokkeerd.
Met de volgende voorbeeldopdracht kunnen alleen computers en apparaten in de contoso.com- en onderliggende domeinen een query uitvoeren op de DNS-server.
Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicyDomain" -Action IGNORE -FQDN "NE,*.contoso.com" -PassThru
Alleen query's vanuit een subnet toestaan
U kunt ook Acceptatielijsten maken voor IP-subnetten, zodat alle query's die niet afkomstig zijn van deze subnetten worden genegeerd.
Add-DnsServerClientSubnet -Name "AllowedSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThru
Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicySubnet” -Action IGNORE -ClientSubnet "NE, AllowedSubnet06" -PassThru
Alleen bepaalde QTypes toestaan
U kunt Acceptatielijsten toepassen op QTYPEs.
Als u bijvoorbeeld externe klanten hebt die query's uitvoeren op de DNS-serverinterface 164.8.1.1, mogen alleen bepaalde QTYPE's worden opgevraagd, terwijl er andere QTYPEs zoals SRV- of TXT-records zijn die worden gebruikt door interne servers voor naamomzetting of voor bewakingsdoeleinden.
Add-DnsServerQueryResolutionPolicy -Name "AllowListQType" -Action IGNORE -QType "NE,A,AAAA,MX,NS,SOA" –ServerInterface “EQ,164.8.1.1” -PassThru
U kunt duizenden DNS-beleidsregels maken op basis van uw vereisten voor verkeerbeheer en alle nieuwe beleidsregels worden dynamisch toegepast, zonder de DNS-server opnieuw op te starten voor binnenkomende query's.