远离DoS攻击 Windows Server 2016发布DNS政策

日期:2016-12-20作者:Brien Posey

【TechTarget中国原创】

Windows Server 2016的网络功能虽然没有获得像Docker容器和Nano Server同等重要的关注,但是管理员们应该了解的是,新的域名系统(Domain Name System,DNS)服务器和IP地址管理功能可以帮助他们获得更多的网络环境控制权。

有关DNS最重要的一项改进是发布了DNS政策。该政策允许管理员控制Windows DNS服务器将如何响应DNS查询。DNS政策有无数种用途,包括能够重定向或阻止来自恶意IP地址的DNS查询。

DNS政策也有利于负载平衡。直到Window Server 2016,微软DNS服务器对本地负载平衡类型只支持round-robin load balance,即轮询方式。例如,如果三个web服务器提供某一个特定的服务,然后管理员可以使用DNS轮询负载平衡将流量均匀地分布在多个服务器。但是这种方法缺少智能的平衡机制。DNS无法知道一个主机是否可以处理更多或更少的流量,也无法知道主机的健康状况。

DNS政策的另外两个用途是将流量分布到最近的数据中心或执行重定向。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者>更多

Brien Posey
Brien Posey

微软最有价值专家(MVP),具有二十多年的IT经验,前后获得七次微软MVP,重点专注SharePoint管理,发表过上千篇文章,并出版十多本IT书籍。

技术手册>更多

  • Windows Server 2016系列四:Nano Server

    Nano Server是一个轻量级安装包,体积比传统的Windows Server部署小93%。虽然体积小,但能够给企业提供巨大的利益。本期将介绍Nano Server的好处,如何部署Nano Server,以及与Server Core的区别。

  • Windows Server 2016系列三:虚拟化

    在《Windows Server 2016系列一:关键变化》中,我们对Windows Server 2016的新特性已经有所了解。对于决定升级到Windows Server 2016的组织,《Windows Server 2016系列二:升级》必不可少。Windows Server 2016在虚拟化方面提供了首次登陆的容器和Hyper-V更新。容器是虚拟化的未来发展方式——应用程序和服务在孤立的环境中运行,不会影响到系统。Windows Server 2016还为Hyper-V带来了显著的安全提升。

  • Windows Server 2016系列二:升级

    随着发布时间临近,越来越多的企业对Windows Server 2016升级跃跃欲试。新版Windows Server确实带来了不少优势,我们从《Windows Server 2016系列一:关键变化》中已经有所了解。但是迁移服务器操作系统并不是一件轻而易举的事。Windows Server 2016升级做哪些准备?你的IT人员是否具备相关的专业知识或者时间来处理Windows Server 2016升级任务呢?或者是应该外包给专业顾问?

  • Windows Server 2016系列一:关键变化

    随着Windows Server 2016正式发布的日益临近,越来越多企业开始考虑挑战到新的服务器操作系统平台。无论你是持观望态度还是决定部署新的服务器操作系统,本指南共分四个系列,带你由浅入深,从全面了解到最终掌握Windows Server 2016。

【TechTarget中国原创】

Windows Server 2016的网络功能虽然没有获得像Docker容器和Nano Server同等重要的关注,但是管理员们应该了解的是,新的域名系统(Domain Name System,DNS)服务器和IP地址管理功能可以帮助他们获得更多的网络环境控制权。

有关DNS最重要的一项改进是发布了DNS政策。该政策允许管理员控制Windows DNS服务器将如何响应DNS查询。DNS政策有无数种用途,包括能够重定向或阻止来自恶意IP地址的DNS查询。

DNS政策也有利于负载平衡。直到Window Server 2016,微软DNS服务器对本地负载平衡类型只支持round-robin load balance,即轮询方式。例如,如果三个web服务器提供某一个特定的服务,然后管理员可以使用DNS轮询负载平衡将流量均匀地分布在多个服务器。但是这种方法缺少智能的平衡机制。DNS无法知道一个主机是否可以处理更多或更少的流量,也无法知道主机的健康状况。

DNS政策的另外两个用途是将流量分布到最近的数据中心或执行重定向。

IPAM控制台获得DNS支持

IP地址管理(IPAM)是Windows Server已经存在多年的一个功能。大型的组织使用IPAM管理那些在运行IP地址基础设施上发挥了关键作用的服务器。直到Windows Server 2016发布,IPAM控制台都没有获得DNS支持。Windows Server 2012 IPAM控制台在与DHCP服务器进行交互方面提供了丰富的支持,但仅有几个选项支持与DNS进行交互。仅有的这些可用选项可以用来启动启动微软管理控制台或检索服务器数据。

微软为Windows Server 2016 IPAM控制台添加了更多的DNS相关功能,包括创建、修改和删除资源记录。微软还添加了一个过滤选项,从而让管理员在DNS-zone级别检查资源记录和IP地址。这个过滤选项基于DNS主机记录库存中的IP地址目录,不管是手动或自动添加的。IPAM从运行Windows server 2008或更高版本的Windows DNS服务器上收集DNS区域和资源记录信息。

调节DNS响应速率有助于避免DoS攻击

Windows Server 2016还提供了一种调节DNS响应速率的方法,以防止针对Windows DNS服务器的拒绝服务(DoS)攻击。 该功能限制了DNS服务器每秒向客户端发出响应(或错误)的次数。

微软配置了响应速率限制功能,因此不会影响合法请求。管理员可以根据域或子网定义白名单,以免DNS请求限制。 组织可能将其内部子网置于白名单上,同时对外部客户端施加速率限制以限制DOS攻击的影响。