Windows Server 2016-DNS 新增或改進功能

本章節補充介紹在 Windows Server 2016 中功能變數名稱系統 (DNS) 伺服器新增或已更改的功能相關信息，具體內容如下：

DNS策略

您可以將DNS策略用於基於地理位置的流量管理，基於一天中的時間的智能DNS響應，管理為裂腦配置配置的單個DNS伺服器，應用DNS查詢的過濾器等。 以下各項提供有關這些功能的更多詳細信息。

• 應用程式負載平衡：在不同位置部署應用程式的多個實例時，可以使用DNS策略來平衡不同應用程式實例之間的流量負載，從而動態分配應用程式的流量負載。

• 基於地理位置的資源管理： 您可以使用DNS策略允許主DNS伺服器和輔助DNS伺服器根據客戶端和客戶端嘗試連接的資源的地理位置響應DNS客戶端查詢，從而為客戶端提供最近資源的IP地址。

• 腦裂DNS：使用腦裂DNS，DNS記錄在同一DNS伺服器上拆分為不同的區域範圍，DNS客戶端根據客戶端是內部客戶端還是外部客戶端接收響應。您可以為Active Directory集成區域或獨立DNS伺服器上的區域配置腦裂DNS。

• 過濾：您可以配置DNS策略以創建基於您提供的條件的查詢過濾器。DNS策略中的查詢過濾器允許您配置DNS伺服器以基於發送DNS查詢的DNS查詢和DNS客戶端以自定義方式進行響應。

• 取證： 您可以使用DNS策略將惡意DNS客戶端重定向到不存在的IP地址，而不是將它們定向到他們嘗試訪問的電腦。

• 基於時間的重定向： 您可以使用DNS策略通過使用基於時間的DNS策略在應用程式的不同地理分佈實例之間分發應用程式流量。

您還可以將DNS策略用於Active Directory集成DNS區域。

響應率限制

您可以配置RRL設置，以控制在伺服器收到針對同一客戶端的多個請求時如何響應對DNS客戶端的請求。 通過執行此操作，您可以阻止某人使用您的DNS伺服器發送拒絕服務（Dos）攻擊。例如，僵屍網路可以使用第三台電腦的IP地址作為請求者向DNS伺服器發送請求。如果沒有RRL，您的DNS伺服器可能會響應所有請求，充斥第三台電腦。使用RRL時，可以配置以下設置：

• 每秒回覆。 這是在一秒鐘內向客戶端提供相同響應的最大次數。

• 每秒錯誤。 這是在一秒鐘內將錯誤響應發送到同一客戶端的最大次數。

• 視窗。 這是在發出太多請求時將暫停對客戶端的響應的秒數。

• 泄漏率。 這是DNS伺服器在響應暫停期間響應查詢的頻率。例如，如果伺服器暫停對客戶端的響應10秒，並且泄漏率為5，則伺服器仍將針對發送的每5個查詢響應一個查詢。即使DNS伺服器在其子網或FQDN上應用響應速率限制，這也允許合法客戶端獲得響應。

• TC率。 這用於告訴客戶端在暫停對客戶端的響應時嘗試連接TCP。例如，如果TC速率為3，並且伺服器暫停對給定客戶端的響應，則伺服器將為收到的每3個查詢發出TCP連接請求。確保TC速率的值低於泄漏率，以便客戶端在泄漏響應之前通過TCP連接。

• 最大響應。 這是響應被暫停時伺服器將向客戶端發出的最大響應數。

• 白名單功能變數名稱。 這是要從RRL設置中排除的域列表。

• 白名單子網。 這是要從RRL設置中排除的子網列表。

• 白名單伺服器介面。 這是要從RRL設置中排除的DNS伺服器介面列表。

DANE支持

您可以使用DANE支持（RFC 6394和6698）向DNS客戶端指定他們應該為DNS伺服器中托管的功能變數名稱發佈哪些CA。 這可以防止某種形式的中間人攻擊，即有人能夠破壞DNS緩存並將DNS名稱指向他們自己的IP地址。

未知的記錄支持

“未知記錄”是RR伺服器不知道其RDATA格式的RR。 新添加的對未知記錄（RFC 3597）類型的支持意味著您可以以二進位聯機格式將不支持的記錄類型添加到Windows DNS伺服器區域中。Windows緩存解析器已具備處理未知記錄類型的能力。Windows DNS伺服器不會對未知記錄執行任何記錄特定處理，但如果收到查詢，則會將其發送迴響應。

IPv6根提示

IANA發佈的IPV6根提示已添加到Windows DNS伺服器。 Internet名稱查詢現在可以使用IPv6根伺服器執行名稱解析。

Windows PowerShell支持

Windows Server 2016中引入了以下新的Windows PowerShell cmdlet和參數。

• Add-DnsServerRecursionScope。 此cmdlet在DNS伺服器上創建新的遞歸範圍。DNS策略使用遞歸作用域來指定要在DNS查詢中使用的轉發器列表。

• Remove-DnsServerRecursionScope。 此cmdlet刪除現有的遞歸範圍。

• Set-DnsServerRecursionScope。 此cmdlet更改現有遞歸範圍的設置。

• Get-DnsServerRecursionScope。 此cmdlet檢索有關現有遞歸範圍的信息。

• Add-DnsServerClientSubnet。 此cmdlet創建新的DNS客戶端子網。DNS策略使用子網來標識DNS客戶端的位置。

• Remove-DnsServerClientSubnet。 此cmdlet刪除現有的DNS客戶端子網。

• Set-DnsServerClientSubnet。 此cmdlet更改現有DNS客戶端子網的設置。

• Get-DnsServerClientSubnet。 此cmdlet檢索有關現有DNS客戶端子網的信息。

• Add-DnsServerQueryResolutionPolicy。 此cmdlet創建新的DNS查詢解析策略。DNS查詢解析策略用於根據不同的標準指定查詢的響應方式或響應方式。

• Remove-DnsServerQueryResolutionPolicy。 此cmdlet刪除現有DNS策略。

• Set-DnsServerQueryResolutionPolicy。 此cmdlet更改現有DNS策略的設置。

• Get-DnsServerQueryResolutionPolicy。 此cmdlet檢索有關現有DNS策略的信息。

• Enable-DnsServerPolicy。 此cmdlet啟用現有DNS策略。

• Disable-DnsServerPolicy。 此cmdlet禁用現有DNS策略。

• Add-DnsServerZoneTransferPolicy。 此cmdlet創建新的DNS伺服器區域傳輸策略。DNS區域傳輸策略指定是否根據不同條件拒絕或忽略區域傳輸。

• Remove-DnsServerZoneTransferPolicy。 此cmdlet刪除現有的DNS伺服器區域傳輸策略。

• Set-DnsServerZoneTransferPolicy。 此cmdlet更改現有DNS伺服器區域傳輸策略的設置。

• Get-DnsServerResponseRateLimiting。 此cmdlet檢索RRL設置。

• Set-DnsServerResponseRateLimiting。 此cmdlet更改RRL settigns。

• Add-DnsServerResponseRateLimitingExceptionlist。 此cmdlet在DNS伺服器上創建RRL例外列表。

• Get-DnsServerResponseRateLimitingExceptionlist。 此cmdlet檢索RRL排除列表。

• Remove-DnsServerResponseRateLimitingExceptionlist。 此cmdlet刪除現有RRL例外列表。

• Set-DnsServerResponseRateLimitingExceptionlist。 此cmdlet更改RRL例外列表。

• Add-DnsServerResourceRecord。 此cmdlet已更新為支持未知記錄類型。

• Get-DnsServerResourceRecord。 此cmdlet已更新為支持未知記錄類型。

• Remove-DnsServerResourceRecord。 此cmdlet已更新為支持未知記錄類型。

• Set-DnsServerResourceRecord。 此cmdlet已更新為支持未知記錄類型