使用DNS 原則進行DNS 查詢上的篩選套用 - Microsoft Docs
文章推薦指數: 80 %
瞭解如何在Windows Server 2016 中設定DNS 原則,以根據您提供的準則建立查詢篩選準則。
跳到主要內容
已不再支援此瀏覽器。
請升級至MicrosoftEdge,以利用最新功能、安全性更新和技術支援。
下載MicrosoftEdge
其他資訊
目錄
結束焦點模式
儲存
共用
Twitter
LinkedIn
Facebook
電子郵件
WeChat
目錄
使用DNS原則進行DNS查詢上的篩選套用
11/24/2021
此頁面有所助益嗎?
請為您的體驗評分
Yes
No
還有其他意見反應嗎?
系統會將意見反應傳送給Microsoft:按下[提交]按鈕,您的意見反應將用來改善Microsoft產品和服務。
隱私權原則。
送出
謝謝。
本文內容
適用于:Windowsserver2022、WindowsServer2019、WindowsServer2016
您可以使用本主題來瞭解如何設定WindowsServer®2016中的DNS原則,以根據您提供的準則建立查詢篩選準則。
DNS原則中的查詢篩選器可讓您根據傳送DNS查詢的DNS查詢和DNS用戶端,將DNS伺服器設定為以自訂的方式回應。
例如,您可以使用查詢篩選封鎖清單來設定DNS原則,以封鎖來自已知惡意網域的DNS查詢,以防止DNS回應這些網域的查詢。
因為不會從DNS伺服器傳送回應,所以惡意網域成員的DNS查詢會超時。
另一個範例是建立查詢篩選器允許清單,只允許一組特定的用戶端解析特定的名稱。
查詢篩選準則
您可以使用任何邏輯組合來建立查詢篩選,(及/或/不)下列準則。
Name
描述
用戶端子網
預先定義之用戶端子網的名稱。
用來驗證傳送查詢的子網。
傳輸通訊協定
查詢中所使用的傳輸通訊協定。
可能的值為UDP和TCP。
網際網路通訊協定
查詢中使用的網路通訊協定。
可能的值為IPv4和IPv6。
伺服器介面IP位址
接收DNS要求的DNS伺服器之網路介面的IP位址。
FQDN
查詢中記錄的完整功能變數名稱,而且可能會使用萬用字元。
查詢類型
正在查詢的記錄類型(A、SRV、TXT等)。
一天中的時間
收到查詢的當日時間。
下列範例示範如何建立DNS原則的篩選準則,以封鎖或允許DNS名稱解析查詢。
注意
本主題中的範例命令使用WindowsPowerShell命令DnsServerQueryResolutionPolicy。
如需詳細資訊,請參閱DnsServerQueryResolutionPolicy。
封鎖來自網域的查詢
在某些情況下,您可能會想要封鎖識別為惡意之網域的DNS名稱解析,或封鎖不符合組織使用指導方針的網域的DNS名稱解析。
您可以使用DNS原則來完成網域的封鎖查詢。
您在此範例中設定的原則不會在任何特定區域中建立,而是建立套用至DNS伺服器上所設定之所有區域的伺服器層級原則。
首先要評估伺服器層級原則,然後在DNS伺服器收到查詢時先進行比對。
下列範例命令會設定伺服器層級原則,以封鎖任何具有網域尾碼contosomalicious.com的查詢。
Add-DnsServerQueryResolutionPolicy-Name"BlockListPolicy"-ActionIGNORE-FQDN"EQ,*.contosomalicious.com"-PassThru
注意
當您使用[略過]值來設定Action參數時,DNS伺服器會設定為捨棄沒有回應的查詢。
這會導致惡意網域中的DNS用戶端超時。
封鎖子網的查詢
在此範例中,您可以封鎖子網的查詢(如果發現它受到某些惡意程式碼的感染),並嘗試使用您的DNS伺服器來與惡意網站聯繫。
'Add-DnsServerClientSubnet-Name"MaliciousSubnet06"-IPv4Subnet172.0.33.0/24-PassThru
Add-DnsServerQueryResolutionPolicy-Name"BlockListPolicyMalicious06"-ActionIGNORE-ClientSubnet"EQ,MaliciousSubnet06"-PassThru'
下列範例示範如何搭配FQDN準則使用子網準則,以封鎖來自受感染子網的特定惡意網域的查詢。
Add-DnsServerQueryResolutionPolicy-Name"BlockListPolicyMalicious06"-ActionIGNORE-ClientSubnet"EQ,MaliciousSubnet06"–FQDN“EQ,*.contosomalicious.com”-PassThru
封鎖查詢類型
您可能需要在伺服器上封鎖特定查詢類型的名稱解析。
例如,您可以封鎖「任何」查詢,這可能會惡意地用來建立放大攻擊。
Add-DnsServerQueryResolutionPolicy-Name"BlockListPolicyQType"-ActionIGNORE-QType"EQ,ANY"-PassThru
只允許來自網域的查詢
您不僅可以使用DNS原則來封鎖查詢,也可以使用它們來自動核准來自特定網域或子網的查詢。
當您設定允許清單時,DNS伺服器只會處理來自允許網域的查詢,同時封鎖其他網域的所有其他查詢。
下列範例命令只允許contoso.com和子域中的電腦和裝置查詢DNS伺服器。
Add-DnsServerQueryResolutionPolicy-Name"AllowListPolicyDomain"-ActionIGNORE-FQDN"NE,*.contoso.com"-PassThru
只允許來自子網的查詢
您也可以建立IP子網的允許清單,如此就不會忽略源自這些子網的所有查詢。
Add-DnsServerClientSubnet-Name"AllowedSubnet06"-IPv4Subnet172.0.33.0/24-PassThru
Add-DnsServerQueryResolutionPolicy-Name"AllowListPolicySubnet”-ActionIGNORE-ClientSubnet"NE,AllowedSubnet06"-PassThru
僅允許特定QTypes
您可以將允許清單套用至QTYPEs。
例如,如果您有外部客戶查詢DNS伺服器介面164.8.1.1,則只允許查詢特定的QTYPEs,而其他QTYPEs(例如SRV或TXT記錄)可供內部伺服器用來進行名稱解析或用於監視用途。
Add-DnsServerQueryResolutionPolicy-Name"AllowListQType"-ActionIGNORE-QType"NE,A,AAAA,MX,NS,SOA"–ServerInterface“EQ,164.8.1.1”-PassThru
您可以根據您的流量管理需求建立數千個DNS原則,而且會動態套用所有新原則,而不需要重新開機DNS伺服器上的傳入查詢。
本文內容
延伸文章資訊
- 1全球WHOIS 查詢
全球WHOIS 查詢是一網頁介面的網域名稱及IP 位址WHOIS 查詢工具。支援.com .net .tw .cn .hk .jp 等734 個國際頂級網域(gTLD) 及國家及地區頂級網域(c...
- 2DNS Checker 查詢全球各Public DNS 伺服器更新紀錄
開啟瀏覽器進入DNS Checker網站,紅色框內輸入想要檢測的網址,後方選項是擇查詢的DNS 紀錄類型,有A、AAAA、CNAME、MX、NS、PTR、SRV、SOA、TXT 和CAA等 ...
- 3使用DNS 原則進行DNS 查詢上的篩選套用 - Microsoft Docs
瞭解如何在Windows Server 2016 中設定DNS 原則,以根據您提供的準則建立查詢篩選準則。
- 4Windows電腦哪裡看DNS地址?Win10電腦怎麼查詢DNS方法 ...
2、在cmd命令操作界面,輸入命令:ipconfig /all(完成後,按回車鍵運行),在運行結果中找到DNS伺服器地址,就可以看到,如下圖。 ... 方法二:.
- 5如何使用nslookup 指令查詢DNS 紀錄? - Synology 知識中心
您可以查詢目標主機的主機名稱,例如: ... 輸入「cmd.exe」並按一下確定。 輸入主機名稱來執行nslookup 指令。 ... 在搜尋欄位中輸入「終端機」,並按一下 ...