DNS Server Kurulumu ve Konfigürasyonu – Bölüm 4

DNS Policies

Bir DNS sunucusunun belirli koşullar altında nasıl çalışacağını denetlemenizi sağlayan Windows Server 2016’daki yeni bir özellik. Aşağıda belirtilen politikalar oluşturup, yönetebiliriz:

-Application high availability (Uygulama yüksek erişilebilirlik)

-Traffic management (Trafik yönetimi) : DNS sunucusu, bir uygulama için en sağlıklı son noktanın adresini döndürür. Bu, istemciye, o adresdeki ana makinenin çevrimiçi olup olmadığından bağımsız olarak bir adres sağlandığı DNS round robin’den farklıdır.

-Split-brain DNS : DNS kayıtları zone kapsamlarına bölünebilir. Kayıtlar, farklı kapsamlara yerleştirilebilir. Bu, dış istemcilerin DNS bölgesini sorgulamasına ve yalnızca dış istemciler için tasarlanmış bir kapsamın üyesi olan DNS kayıtlarının belirli bir sayısına erişebilmelerine olanak tanır.

-Filtering (Filtreleme) : Belirli IP adreslerinden, IP adres aralıklarından veya FQDN’lerden gelen DNS sorgularını engellemenize izin verir.

-Forensics (Adli) : Kötü amaçlı DNS istemcilerini bunları Ulaşmaya çalıştığınız bilgisayara yönlendirerek yerine bir non\ var IP adresi yeniden yönlendirmek için DNS ilkesi kullanabilirsiniz.

-Time-of-day redirection (Günün saat yönlendirme) : Günün saatine göre DNS ilkelerini kullanarak uygulama trafiği farklı coğrafi olarak dağıtılmış bir uygulama örnekleri arasında dağıtmak için DNS ilkesi kullanabilirsiniz.

DNS bölgesi kayıtlarının gruplarını sınıflandırmanız gerekir. DNS istemcilerinizi karakterize etmek için aşağıdaki DNS nesnelerini kullanabilirsiniz:

-Client Subnet

-Recorsion scope

-Zone scopes

Dns ilkelerini uygulamak için Windows PowerShell komutlarını kullanmalısınız.

Örneğin, Ankara ve Adana’da DNS istemcileri için alt ağlar oluşturmak için aşağıdaki komutları kullanın:

Add-DnsServerClientSubnet -Name “ANKSubnet” -IPv4Subnet “172.22.0.0/24”

Add-DnsServerClientSubnet -Name “ADNSubnet” -Ipv4Subnet “172.22.1.0/24”

Ardından, aşağıdaki konumdaki bu konumlarda DNS istemcileri için DNS bölge kapsamları oluşturun:

Add-DnsServerZoneScope -ZoneName “babur.yerel” -Name “ANKZoneScope”

Add-DnsServerZoneScope -ZoneName “babur.yerel” -Name “ADNZoneScope”

Sonra aşağıdaki komutu kullanarak Ankara bölgesi kapsamındaki müşteriler için özel IP adres kayıtları oluşturun:

Add-DnsServerResourceRecord -ZoneName “babur.yerel” -A -Name “www” -IPv4Address “172.22.0.5” -ZoneScope “ANKZoneScope”

Add-DnsServerResourceRecord -ZoneName “babur.yerel” -A -Name “www” -IPv4Address “172.22.1.5” -ZoneScope “ADNZoneScope”

Son olarak, DNS sunucusuna önceden tanımlanan faktörlere dayanarak yanıt vermesini isteyen ilkeler oluşturun:

Add-DnsServerQueryResolutionPolicy -Name “ANKPolicy” -Action ALLOW -ClientSubnet “eq,ANKSubnet” -ZoneScope “ANKZoneScope,1” -ZoneName “babur.yerel”

Add-DnsServerQueryResolutionPolicy -Name “ADNPolicy” -Action ALLOW -ClientSubnet “eq,ADNSubet” -ZoneScope “ADNZoneScope,1” -ZoneName “babur.yerel”

Delegated administration

Bazı büyük ortamlarda, kuruluşunuzun DNS sunucularını yönetmekle yükümlü olan kişilerin kullanıcı hesabı oluşturma veya parolaları sıfırlama gibi diğer izinlere sahip olmamaları için yönetici ayrıcalıklarını ayırmak isteyebilirsiniz. Varsayılan olarak, Domain Admins grubunun üyeleri, bir etki alanındaki DNS sunucularında tüm DNS yönetim görevlerini gerçekleştirebilir. Enterprise Admins grubunun üyeleri ormandaki DNS sunucularında tüm DNS yönetim görevlerini gerçekleştirebilir.

DNSAdmins etki alanı yerel grubunu, kullanıcıların bir etki alanındaki DNS sunucularının sunucu yapılandırmalarını görüntüleyip değiştirebilmelerinin yanı sıra, DNS verilerini görüntüleme ve değiştirme yetkisi vermek için de kullanabilirsiniz. Onlara ek izin vermeden DNS yönetim görevlerini gerçekleştirmelerine izin vermek isterseniz, kullanıcıları bu gruba ekleyin. Kullanıcıların veya güvenlik gruplarının sunucunun özelliklerinin Güvenlik sekmesindeki belirli bir DNS sunucusunu yönetmesine izin veren izinler atayabilirsiniz.

İzinleri bölge düzeyinde de yapılandırabilirsiniz. Bunu yapmak için, bölgenin özelliklerinin güvenlik sekmesinde güvenlik ilke izinleri atayın. Belirli bir kişinin ana makine kayıtlarını başka izinler atamadan yönetmesine izin vermek isterseniz bunu yapabilirsiniz. Günümüzde çoğu kuruluş DNS kayıtlarının dinamik olarak güncellenmesine izin vermektedir. Bu, elle yönetime izin vermek için özel izinler yapılandırmanız gereken tek bölge, Internet’teki istemcilerin erişebileceği yerler gibi özel olan bölgelerdir.

DNS makale serimizin devamında görüşmek üzere,

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir