معرفی امکانات جدید DNS سرور مایکروسافت

در این مقاله قصد داریم به سراغ قابلیت‌های جدید DNS Server Microsoft بریم که در ویندوز 2016 ارایه شده اند. به اختصار همه رو بررسی می‌کنیم و در مقاله‌های آینده تک‌تک در حد توان و دانشمون اونها رو بررسی خواهیم کرد.

DNS Policies چیست؟

به وسیله‌ی این قابلیت شما می‌تونید DNS Serverتون رو تنظیم کنید که چگونه به querieها جواب بده. بر اساس معیارهایی چون IP آدرس کلاینت که می‌تونه نشون دهنده‌ی موقعیت جغرافیایی کلاینت باشه، چه زمانی از روز درخواست فرستاده شده، و پارامترهای دیگر. به طور مثال شما می‌تونید یک DNS Policy تعریف کنید که بر اساس IP آدرس کلاینت درخواست کننده ‌ی یک صفحه‌ی وب، نزدیک ترین وب سرور رو بهش معرفی کنه. هیجان انگیزه نه؟ :)) بیایید سناریوهای بیشتری رو که می‌شود از DNS Policy استفاده کرد رو بررسی کنیم:

1. Application High availability: کلاینت‌ها برای دریافت سرویس به دردسترس‌ترین سرور راهنمایی می‌شوند.
2. Traffic Management: کلاینت‌ها به نزدیک ‌ترین datacenter راهنمایی می‌شوند.
3. DNS recoeds :Split Brain DNS توی زون‌ها متفاوتی تقسیم می‌شوند تا بر اساس اینکه توی شبکه‌ی داخلی هستند یا توی شبکه‌ی خارجی پاسخ دریافت کنند.
4. Filtering: درخواست‌هایDNSی که از طرف IPها و یا FQDNهای مخرب می‌آیند Block می‌شوند.
5. Forcensice: کلاینتهای مخرب به جای اینکه به کامپیوتری که می‌خوان بهش آسیب بزنند وصل بشن توی یه Sink Hole فرستاده می‌شوند.
6. Time of day based redirection: بر اساس اینکه چه زمانی از روز است کلاین‌ها به یک datacenter راهنمایی می‌شوند.

Response Rate Limiting(RRL) چیست؟

با فعال کردن این قابلیت شما می‌تونید مقدار پاسخگویی DNS server رو محدود کنید و این کار برای جلوگیری از حملات Dos به DNS Client است. شما می‌تونید RRL رو تنظیم کنید تا وقتی که درخواست‌های زیادی را دریافت کرد که مقصد همه‌ی آن درخواست ها یک Client بود، چگونه پاسخ بدهد. برای مثال یک bot net می‌تواند درخواست‌های بسیار زیادی رو به DNS server شما بفرستد در حالی که یک کامپیوتر ثالث رو به عنوان درخواست کننده جا بزند و روح اون کامپیوتر ثالث هم خبر نداشته باشد. در این حالت شاید DNS Server شما قدرت پاسخگویی داشته باشد و برایش مشکلی پیش نیاید اما احتمال از کار افتادن کامپیوتر ثالث در این سناریو وجود دارد. تنظیماتی که می‌توانیم با فعال کردن RRL انجام دهیم:

1. Responses per second: ماکزیموم دفعاتی که یک پاسخ‌ به یک کلاینت در یک ثانیه داده می‌شود.
2. Errors per second: ماکزیموم تعداد دفعاتی که یک پاسخ خطا به یک کلاینت در یک ثانیه فرستاده می‌شود. پاسخ های خطا مانند REFUSED, FORMERR ,SERVFAIL.
3. Window: مقدار زمانی بر حسب ثانیه که پاسخ دادن به یک کلاینت رو به تعویق می‌اندازد. وقتی فعال می‌شود که یک دسته از درخواست ها از یک Subnet، جواب‌های یکسانی داشته باشند.
4. Leak Rate: اجازه بدید این مورد رو با یک مثال توضیح بدیم: فرض کنیم که DNS server به مدت 10ثانیه پاسخ دادن به یک Subnet را Suspend کرده است، اگر Leak rate ما روی 5 باشد، سرور ما بعد از هر 5 درخواست به یک درخواست پاسخ می‌دهد. این به کلاینت‌های بی‌آزار و بی گناه اون رنج suspend شده اجازه می‌دهد که پاسخ دریافت کنند.
5. TC rate: از این پارامتر برای این استفاده می‌شود که به کلاینتها اعلام کنیم وقتی که کلاینت Suspend شده است برای برقراری ارتباط از TCP استفاده کنند به طور مثال اگر TC rate را روی 3 تنظیم کنیم، DNS server بعد از هر 3 درخواست به یک درخواست TCP پاسخ می‌دهد. ) همانطور که می‌دانیم پروتوکل دیفالت ارتباط بین DNS سرور و DNS کلاینت UDP است)
6. Maximum responses: ماکزیموم مقدار جواب‌هایی که یک سرور برای کلاینت صادر می‌کند وقتی که کلاینت Suspend شده است.
7. White list domain: لیستی از دامین ها که RRL شامل آنها نمی‌شود.
8. White list subnet: لیستی از subnetها که RRL شامل آنها نمی‌شود.
9. Whitelist server interface: اینترفیسهایی از DNS سرور که RRL شامل آنها نمی‌شود.

DANE support چیست؟

پشتیبانی از DANE. فرض کنید برای سایت www.ITpro.ir از طرف یک CA معتبر به نام CA1 یک Certificate صادر شده است، به وسیله ی DANE ما به کلاینت اعلام میکنیم که سایت https://www.tosinso.com فقط با Certificateی که از طرف CA1 صادر شده باشد معتبر است.

Unknown record support چیست؟

پشتیبانی از رکوردهای RR whose RDATA که تا کنون Microsoft DNS server از آنها پشتیبانی نمی کرده است. از این پس شما می تواید رکوردهای unknown record (RFC 3597) رو توی زونها اضافه کنید.

IPv6 root hints چیست؟

root hintهای IPv6 که به وسیله‌ی IANA معرفی شده اند به Windows DNS server اضافه شده اند.

Windows Powershell Support چیست؟

همانطوری که می‌دانید مایکروسافت هر روز مجموعه‌ی دستورات Poweshell را بزرگتر می‌کند. بر اساس همین رویه یک سری دستورات جدید Powershellی برای مدیریت DNS اضافه شده است:

	Add-DnsServerRecursionScope. This cmdlet creates a new recursion scope on the DNS server. Recursion scopes are used by DNS policies to specify a list of forwarders to be used in a DNS query.
•	Remove-DnsServerRecursionScope. This cmdlet removes existing recursion scopes.
•	Set-DnsServerRecursionScope. This cmdlet changes the settings of an existing recursion scope.
•	Get-DnsServerRecursionScope. This cmdlet retrieves information about existing recursion scopes.
•	Add-DnsServerClientSubnet. This cmdlet creates a new DNS client subnet. Subnets are used by DNS policies to identify where a DNS client is located.
•	Remove-DnsServerClientSubnet. This cmdlet removes existing DNS client subnets.
•	Set-DnsServerClientSubnet. This cmdlet changes the settings of an existing DNS client subnet.
•	Get-DnsServerClientSubnet. This cmdlet retrieves information about existing DNS client subnets.
•	Add-DnsServerQueryResolutionPolicy. This cmdlet creates a new DNS query resolution policy. DNS query resolution policies are used to specify how, or if, a query is responded to, based on different criteria.
•	Remove-DnsServerQueryResolutionPolicy. This cmdlet removes existing DNS policies.
•	Set-DnsServerQueryResolutionPolicy. This cmdlet changes the settings of an existing DNS policy.
•	Get-DnsServerQueryResolutionPolicy. This cmdlet retrieves information about existing DNS policies.
•	Enable-DnsServerPolicy. This cmdlet enables existing DNS policies.
•	Disable-DnsServerPolicy. This cmdlet disables existing DNS policies.
•	Add-DnsServerZoneTransferPolicy. This cmdlet creates a new DNS server zone transfer policy. DNS zone transfer policies specify whether to deny or ignore a zone transfer based on different criteria.
•	Remove-DnsServerZoneTransferPolicy. This cmdlet removes existing DNS server zone transfer policies.
•	Set-DnsServerZoneTransferPolicy. This cmdlet changes settings of an existing DNS server zone transfer policy.
•	Get-DnsServerResponseRateLimiting. This cmdlet retrieves RRL settings.
•	Set-DnsServerResponseRateLimiting. This cmdlet changes RRL settigns.
•	Add-DnsServerResponseRateLimitingExceptionlist. This cmdlet creates an RRL exception list on the DNS server.
•	Get-DnsServerResponseRateLimitingExceptionlist. This cmdlet retrieves RRL excception lists.
•	Remove-DnsServerResponseRateLimitingExceptionlist. This cmdlet removes an existing RRL exception list.
•	Set-DnsServerResponseRateLimitingExceptionlist. This cmdlet changes RRL exception lists.
•	Add-DnsServerResourceRecord. This cmdlet was updated to support unknown record type.
•	Get-DnsServerResourceRecord. This cmdlet was updated to support unknown record type.
•	Remove-DnsServerResourceRecord. This cmdlet was updated to support unknown record type.
•	Set-DnsServerResourceRecord. This cmdlet was updated to support unknown record type