DNS (Domain Name System), alan adlarını IP adreslerine veya tam tersine çevirmenizi sağlayan bir sistemdir.
DNS sunucusu, DNS'nin çalışmasını sağlayan ve sürdüren bir ağ hizmetidir. DNS sunucusu, çoğu makinede çalışabilen kolay ve hafif bir hizmettir. Hedef makinede başka roller ve hizmetler yapılandırmayı düşünmüyorsanız, minimum yapılandırma yeterlidir.
Bir DNS sunucusu nasıl kurulur:
- DNS sunucusu için ağ bağdaştırıcısını yapılandırma;
- DNS Sunucusu Rolünün Yüklenmesi;
- İleri arama bölgesi oluşturma;
- Ters arama bölgesi oluşturma;
- Bir (A) kaydı oluşturun;
- Windows Server 2016'da yeni olan veya değiştirilen Etki Alanı Adı Sistemi (DNS) özelliklerini açıklar.
DNS sunucusunda ağ bağdaştırıcısını yapılandırma
Bir DNS sunucusu kurmak için bir etki alanı bölgesi gerekir. Kişisel hesabınızda özel bir ağ oluşturmanız ve sanal makineleri buna bağlamanız gerekir.
Makine her iki ağa da bağlandıktan sonra, hangi bağlantının yapılandırılması gerektiğini hatırlamak önemlidir. Genellikle, bir ağ bağdaştırıcısı en başından itibaren varsayılan olarak İnternet erişimi ile kurulur. Aynı zamanda diğer ek ağ bağdaştırıcıları, yapılandırma manuel olarak gerçekleştirilinceye kadar İnternet erişimine sahip değildir:
İmleci sistem tepsisindeki ağ simgesinin üzerine getirdiğinizde, ağlar hakkında kısa bilgiler içeren bir araç ipucu bulabilirsiniz. Yukarıdaki örneği izleyerek, katılınan ağın Ağ 3 olduğunu görebilirsiniz.
Bir dizi eylem gerçekleştirin:
- Başlat'a sağ tıklayın ve açılır menüden Ağ Bağlantıları'nı seçin;
- Gerekli ağ bağdaştırıcısına sağ tıklayın ve menüden Özellikler'i seçin;
- Özellikler penceresinde IPv4'ü seçin ve Özellikler düğmesine tıklayın;
- Uygun alanları gerekli verilerle doldurun:
Burada, makine tercih edilen DNS sunucusu olarak atanır ve alternatif dns.google [8.8.8.8] olarak atanır.
DNS sunucusu rolünü yükleme
Windows Server'a yeni roller eklemek için Sunucu Yöneticisi'ndeki Rol ve Özellik Ekleme Sihirbazı'nı kullanırsınız.
Sunucu Yöneticisi'nin üst gezinti çubuğunda Yönet menüsünü tıklatın ve ardından Rol ve Özellik Ekle'yi seçin:
Burada Sihirbaz, aşağıdaki görevlerin tamamlanıp tamamlanmadığını doğrulamanızı önerir:
- Yönetici hesabının güçlü bir parolası vardır;
- Statik IP adresleri gibi ağ ayarları yapılandırılır;
- Windows Update'ten en güncel güvenlik güncelleştirmeleri yüklenir.
Tüm koşulların karşılandığından eminseniz, "Next" (İleri) düğmesine tıklayın;
"Role-based" (Rol tabanlı) veya "feature-based" (özellik tabanlı) kurulumu seçin ve "Next" (İleri) düğmesine tıklayın:
Sunucu havuzundan istediğiniz bir sunucuyu seçin ve "Next" (İleri) düğmesine tıklayın:
DNS sunucusu rolünü işaretleyin ve Next (İleri) düğmesine tıklayın:
Yüklenecek özelliklerin listesini kontrol edin ve Add Features (Özellik Ekle) öğesine tıklayarak onaylayın:
Özellik listesini olduğu gibi tutun ve Next (İleri) düğmesine tıklayın:
Bilgileri okuyun ve Next (İleri) düğmesine tıklayın:
Kurulum yapılandırmasını bir kez daha kontrol edin ve Install (Yükle) düğmesine tıklayarak kararınızı onaylayın:
Son onay ekranı kurulumun başarıyla tamamlandığını bildirir ve kurulum Sihirbazını kapatabilirsiniz:
İleri ve geri arama bölgeleri oluşturma
Bir alan adı bölgesi - belirli bir alan adı içindeki bir dizi alan adı.
Forward lookup zones isimleri IP adreslerine çözümler.
Ters arama bölgeleri IP adreslerini isimlere çözümler.
Bölgeleri oluşturmak ve yönetmek için DNS Yöneticisini kullanmanız gerekir.
Sunucu Yöneticisi'nin üst gezinti çubuğunda "Tools menu" (Araçlar menüsü}) öğesine tıklayın ve açılan listeden DNS öğesini seçin:
İleri arama bölgesi oluşturma
- İleri Arama Bölgeleri klasörüne sağ tıklayın, "New Zone" (Yeni Bölge) seçeneğini seçin. Bu, Yeni Bölge Sihirbazını açacaktır:
- Sihirbazın Hoş Geldiniz ekranında "Next" (İleri) düğmesine tıklayın:
- Bölge Türü ekranında Birincil Bölge'yi seçin ve "Next" (İleri) düğmesine tıklayın:
- Adı girin ve "Next" (İleri) düğmesine tıklayın:
- Gerekirse, gelecekteki bölge dosyasının adını değiştirin ve "Next" (İleri) düğmesine tıklayın:
- Dinamik güncellemelere izin vermek isteyip istemediğinizi seçmelisiniz. Önemli bir güvenlik açığı nedeniyle buna izin verilmesi önerilmez. "Next" (İleri) düğmesine tıklayın:
- Seçilen ayarların doğru olduğunu doğrulayın, "Finish" (Son) düğmesine tıklayın::
Bir ters arama bölgesi oluşturma
- DNS Yöneticisini açın ve "Reverse Lookup Zones" (Ters Arama Bölgeleri) klasörüne sağ tıklayın, Yeni Bölge'yi seçin. Bu, Yeni Bölge Sihirbazını açacaktır:
- "Zone Type" (Bölge Tipi) ekranında, "Primary Zone" (Birincil Bölge) seçeneğini seçin ve "Next" (İleri) düğmesine tıklayın:
- İlk "Reverse Lookup Zone Name" (Ters Arama Bölgesi Adı) sayfasında IPv4'ü seçin, "Next" (İleri) düğmesine tıklayın:
- Ağ kimliğini (IP adresinin ilk üç okteti) yazın ve "Next" (İleri) düğmesine tıklayın:
- Gerekirse, gelecekteki bölge dosyasının adını değiştirin ve "Next" (İleri) düğmesine tıklayın:
- Dinamik güncellemelere izin vermek isteyip istemediğinizi seçmelisiniz. Önemli bir güvenlik açığı nedeniyle buna izin verilmesi önerilmez. "Next" (İleri) düğmesine tıklayın:
- Seçilen ayarların doğru olduğunu doğrulayın, "Finish" (Son) düğmesine tıklayın:
Ana bilgisayar (A) kaydı oluşturma
Kılavuzun bu bölümü, daha önce gerçekleştirdiğiniz tüm adımları çoğunlukla kontrol etmek içindir.
Kaynak Kaydı, DNS'de bilgi depolama ve iletim birimidir. RR'ler ana bilgisayar adı ve IP bilgilerinin temel yapı taşlarıdır ve tüm DNS sorgularını çözümlemek için kullanılır.
Kayıt A - ana bilgisayar adlarını ana bilgisayarın IP adresiyle eşleştirmenizi sağlayan bir kayıttır.
PTR Kaydı — A Kaydının ters versiyonudur.
- "DNS Manager" (DNS Yöneticisi) içindeki "Forward Lookup Zones" (İleri Arama Bölgeleri) klasörünü açın ve bölge klasörünü bulun. "DNS Manager "nin (DNS Yöneticisi) sağ kısmına sağ tıklayın ve "New Host" (Yeni Ana Bilgisayar) (a veya AAA) öğesini seçin:
- "New Host" (Yeni Ana Bilgisayar) sayfası açılır. "Name" (Ad) kısmına ana bilgisayarın adını (alan adı olmadan, alan adı olarak Bölgenin adını kullanacaktır) ve IP adresinizi yazın. "Create associated pointer (PTR) record"(İlişkili işaretçi (PTR) kaydı oluştur) bölümünü işaretleyerek hem "Forward"(İleri) hem de "Reverse Lookup Zones"(Ters Arama Bölgeleri)'nin düzgün çalıştığını doğrulayın:
"Name field" (Ad alanı) boşsa, ana alan adını kullanır.
- Diğer sunucular için de kayıt ekleyebilirsiniz:
- İşiniz bittiğinde "Done" (Bitti) düğmesine tıklayın.
Her şeyin doğru olduğundan emin olmak
- Bölgelerin klasörlerindeki değişiklikleri kontrol edin (aşağıdaki örnekte her birinde 2 kayıt göründüğünü görebilirsiniz):
- Komut satırını (cmd) veya PowerShell'i açın ve nslookup komutunu çalıştırın:
Varsayılan DNS sunucusunun 10.0.1.6 adresiyle example-2012.com olduğunu gösterir.
İleri ve Geri Bölgelerinin düzgün çalıştığından emin olmak için iki sorgu gönderebilirsiniz:
- Etki alanını sorgulamak için;
- IP adresini sorgulamak için:
Örnekte, her iki sorgu için de uygun yanıtlar aldık.
- Harici bir kaynağa sorgu gönderme seçeneği vardır:
Burada yeni bir satır görüyoruz "Non-authoritative answer" (Yetkili olmayan cevap). Bu, DNS sunucumuzun alan adının orijinal bölge dosyalarını içermediği anlamına gelir. Aşağıda görüntülenen bilgiler yetkili bir sunucudan alınmış olsa da, bu durumda kendisi yetkili değildir.
Karşılaştırmak için, aynı sorguların tümü ileri ve geri bölgelerin yapılandırılmadığı sunucuda yapılmıştır:
Burada, makine kendisini varsayılan DNS sunucusu olarak atamıştır. IP adresi (10.0.1.7) için kaynak kaydı olmadığından DNS sunucusu etki alanı adı bilinmiyor olarak görüntülenir. Aynı nedenle, 2. sorgu bir hata döndürür ("Non-existent domain" (Var olmayan etki alanı)).
Windows Server 2016'da yeni olan veya değiştirilen Etki Alanı Adı Sistemi (DNS) özelliklerinin açıklaması.
Windows Server 2016'da, DNS Sunucusu aşağıdaki alanlarda güncelleştirmeler sunar:
- DNS Sunucu İlkeleri;
- Yanıt Oranı Sınırı (RRL);
- DNS Tabanlı Adlandırılmış Varlık Kimlik Doğrulaması (DANE);
- Bilinmeyen kayıt desteği;
- IPv6 kök ipuçları;
- Windows PowerShell Desteği.
DNS Sunucu İlkeleri
Artık bu özellikleri kullanabilirsiniz:
- Coğrafi Konum tabanlı trafik yönetimi için DNS Politikası;
- Bölünmüş beyin dağıtımı için yapılandırılmış tek bir DNS sunucusunu yönetmek için günün saatine göre akıllı DNS yanıtları;
- DNS sorgularına filtreler uygulayın ve daha fazlasını yapın.
Bu özelliklerin spesifik tanımı:
Uygulama Yük Dengeleme
Bir uygulamanın birden fazla örneğini farklı konumlara dağıttığınızda, trafik yükünü farklı uygulama örnekleri arasında dengelemek için DNS ilkesini kullanabilir ve trafik yükünü uygulamaya dinamik olarak tahsis edebilirsiniz.
Geo-Lokasyon Tabanlı Trafik Yönetimi
Birincil ve ikincil DNS sunucularının, hem istemcinin hem de istemcinin bağlanmaya çalıştığı kaynağın coğrafi konumuna bağlı olarak DNS istemci sorgularına yanıt vermesine ve istemciye en yakın kaynağın IP adresini sağlamasına izin vermek için DNS İlkesi'ni kullanabilirsiniz.
Bölünmüş Beyin DNS
Bölünmüş beyinli DNS ile, DNS kayıtları aynı DNS sunucusunda farklı Bölge Kapsamlarına bölünür ve DNS istemcileri, istemcilerin dahili veya harici istemciler olmasına göre bir yanıt alır. Bölünmüş beyinli DNS'yi Active Directory tümleşik bölgeleri veya bağımsız DNS sunucularındaki bölgeler için yapılandırabilirsiniz.
Filtreleme
DNS ilkesini, sağladığınız ölçütleri temel alan sorgu filtreleri oluşturacak şekilde yapılandırabilirsiniz. DNS ilkesindeki sorgu filtreleri, DNS sunucusunu DNS sorgusuna ve DNS sorgusunu gönderen DNS istemcisine göre özel bir şekilde yanıt verecek şekilde yapılandırmanıza olanak tanır.
Forensik
Kötü niyetli DNS istemcilerini ulaşmaya çalıştıkları bilgisayara yönlendirmek yerine var olmayan bir IP adresine yönlendirmek için DNS ilkesini kullanabilirsiniz.
Günün saatine dayalı yönlendirme
Günün saatini temel alan DNS ilkelerini kullanarak uygulama trafiğini bir uygulamanın coğrafi olarak dağıtılmış farklı örnekleri arasında dağıtmak için DNS ilkesini kullanabilirsiniz.
Ayrıca Active Directory tümleşik DNS bölgeleri için DNS ilkelerini de kullanabilirsiniz.
Yanıt Oranı Sınırlaması (RRL)
Sunucunuz aynı istemciyi hedefleyen birden fazla istek aldığında bir DNS istemcisine gelen isteklere nasıl yanıt verileceğini kontrol etmek için RRL ayarlarını yapılandırabilirsiniz.
Bunu yaparak, birisinin DNS sunucularınızı kullanarak Hizmet Reddi (Dos) saldırısı göndermesini önleyebilirsiniz.
Örneğin, bir bot ağı, istek sahibi olarak üçüncü bir bilgisayarın IP adresini kullanarak DNS sunucunuza istek gönderebilir. RRL olmadan, DNS sunucularınız tüm isteklere yanıt vererek üçüncü bilgisayarı sular altında bırakabilir.
RRL kullandığınızda, aşağıdaki ayarları yapılandırabilirsiniz:
Saniye başına yanıt Bu, bir saniye içinde bir istemciye aynı yanıtın en fazla kaç kez verildiğidir.
Saniye başına hata Bu, aynı istemciye bir saniye içinde en fazla kaç kez hata yanıtı gönderildiğini gösterir.
Pencere Bu, çok fazla istek yapılması durumunda bir istemciye verilen yanıtların askıya alındığı saniye sayısıdır.
Sızıntı oranı Bu, yanıtların askıya alındığı süre boyunca DNS sunucusunun bir sorguya ne sıklıkta yanıt verdiğidir. Örneğin, sunucu bir istemcinin yanıtlarını 10 saniye süreyle askıya alırsa ve sızıntı oranı 5 ise, sunucu gönderilen her 5 sorgu için bir sorguya yanıt vermeye devam eder. Bu, DNS sunucusu alt ağlarında veya FQDN'lerinde yanıt hızı sınırlaması uyguladığında bile meşru istemcilerin yanıt almasını sağlar.
TC oranı Bu, istemciye yanıtlar askıya alındığında istemciye TCP ile bağlanmayı denemesini söylemek için kullanılır. Örneğin, TC oranı 3 ise ve sunucu belirli bir istemciye verilen yanıtları askıya alırsa, sunucu alınan her 3 sorgu için bir TCP bağlantısı isteği gönderir. İstemciye yanıtları sızdırmadan önce TCP ile bağlanma seçeneği sunmak için TC oranı değerinin sızıntı oranından düşük olduğundan emin olun.
Maksimum yanıtlar Bu, yanıtlar askıya alınırken sunucunun bir istemciye verdiği maksimum yanıt sayısıdır.
Allowlist etki alanları Bu, RRL ayarlarından hariç tutulacak etki alanlarının bir listesidir.
Allowlist subnets Bu, RRL ayarlarından hariç tutulacak alt ağların bir listesidir.
Allowlist sunucu arabirimleri Bu, RRL ayarlarından hariç tutulacak DNS sunucu arabirimlerinin bir listesidir.
DNS Tabanlı Adlandırılmış Varlık Kimlik Doğrulaması (DANE)
DANE desteğini (RFC 6394 ve 6698) kullanarak DNS istemcilerinize DNS sunucunuzda barındırılan alan adları için hangi CA'dan sertifika verilmesini beklemeleri gerektiğini belirtebilirsiniz. Bu, birisinin DNS önbelleğini bozabileceği ve bir DNS adını kendi IP adresine yönlendirebileceği bir tür ortadaki adam saldırısını önler.
Bilinmeyen kayıt desteği
"Unknown Record" (Bilinmeyen Kayıt), RDATA biçimi DNS sunucusu tarafından bilinmeyen bir RR'dir. Bilinmeyen kayıt (RFC 3597) türleri için yeni eklenen destek, desteklenmeyen kayıt türlerini Windows DNS sunucusu bölgelerine ikili on-wire biçiminde ekleyebileceğiniz anlamına gelir. Windows önbelleğe alma çözümleyicisi zaten bilinmeyen kayıt türlerini işleme yeteneğine sahiptir. Windows DNS sunucusu bilinmeyen kayıtlar için herhangi bir kayda özel işlem yapmaz, ancak sorgu alınırsa yanıt olarak geri gönderir.
IPv6 kök ipuçları
IANA tarafından yayınlanan IPV6 kök ipuçları Windows DNS sunucusuna eklenmiştir. İnternet isim sorguları artık isim çözümlemelerini gerçekleştirmek için IPv6 kök sunucularını kullanabilir.
Windows PowerShell desteği
Aşağıdaki yeni Windows PowerShell cmdlet'leri ve parametreleri Windows Server 2016'da tanıtılmıştır:
Add-DnsServerRecursionScope - Bu cmdlet DNS sunucusunda yeni bir özyineleme kapsamı oluşturur. Özyineleme kapsamları, DNS ilkeleri tarafından bir DNS sorgusunda kullanılacak ileticilerin listesini belirtmek için kullanılır.
Remove-DnsServerRecursionScope - Bu cmdlet mevcut özyineleme kapsamlarını kaldırır.
Set-DnsServerRecursionScope - Bu cmdlet, mevcut bir özyineleme kapsamının ayarlarını değiştirir.
Get-DnsServerRecursionScope - Bu cmdlet, mevcut özyineleme kapsamları hakkında bilgi alır.
Add-DnsServerClientSubnet - Bu cmdlet yeni bir DNS istemcisi alt ağı oluşturur. Alt ağlar, DNS ilkeleri tarafından bir DNS istemcisinin bulunduğu yeri tanımlamak için kullanılır.
Remove-DnsServerClientSubnet - Bu cmdlet varolan DNS istemci alt ağlarını kaldırır.
Set-DnsServerClientSubnet - Bu cmdlet varolan bir DNS istemci alt ağının ayarlarını değiştirir.
Get-DnsServerClientSubnet - Bu cmdlet varolan DNS istemci alt ağları hakkında bilgi alır.
Add-DnsServerQueryResolutionPolicy - Bu cmdlet yeni bir DNS sorgu çözümleme ilkesi oluşturur. DNS sorgu çözümleme ilkeleri, farklı ölçütlere göre bir sorguya nasıl yanıt verileceğini veya yanıt verilip verilmeyeceğini belirtmek için kullanılır.
Remove-DnsServerQueryResolutionPolicy - Bu cmdlet varolan DNS ilkelerini kaldırır.
Set-DnsServerQueryResolutionPolicy - Bu cmdlet varolan bir DNS ilkesinin ayarlarını değiştirir.
Get-DnsServerQueryResolutionPolicy - Bu cmdlet varolan DNS ilkeleri hakkında bilgi alır.
Enable-DnsServerPolicy - Bu cmdlet varolan DNS ilkelerini etkinleştirir.
Disable-DnsServerPolicy - Bu cmdlet varolan DNS ilkelerini devre dışı bırakır.
Add-DnsServerZoneTransferPolicy - Bu cmdlet yeni bir DNS sunucusu bölge aktarma ilkesi oluşturur. DNS bölge aktarım ilkeleri, farklı ölçütlere göre bir bölge aktarımının reddedilip reddedilmeyeceğini veya yok sayılıp sayılmayacağını belirtir.
Remove-DnsServerZoneTransferPolicy - Bu cmdlet varolan DNS sunucusu bölge aktarma ilkelerini kaldırır.
Set-DnsServerZoneTransferPolicy - Bu cmdlet varolan bir DNS sunucusu bölge aktarma ilkesinin ayarlarını değiştirir.
Get-DnsServerResponseRateLimiting< - Bu cmdlet RRL ayarlarını alır.
Set-DnsServerResponseRateLimiting - Bu cmdlet RRL ayarlarını değiştirir.
Add-DnsServerResponseRateLimitingExceptionlist - Bu cmdlet, DNS sunucusunda bir RRL özel durum listesi oluşturur.
Get-DnsServerResponseRateLimitingExceptionlist- Bu cmdlet, RRL istisna listelerini alır.
Remove-DnsServerResponseRateLimitingExceptionlist - Bu cmdlet varolan bir RRL özel durum listesini kaldırır.
Set-DnsServerResponseRateLimitingExceptionlist - Bu cmdlet, RRL özel durum listelerini değiştirir.
Add-DnsServerResourceRecord - Bu cmdlet bilinmeyen kayıt türünü destekleyecek şekilde güncellendi.
Get-DnsServerResourceRecord - Bu cmdlet bilinmeyen kayıt türünü destekleyecek şekilde güncellendi.
Remove-DnsServerResourceRecord - Bu cmdlet bilinmeyen kayıt türünü destekleyecek şekilde güncellendi.
Set-DnsServerResourceRecord - Bu cmdlet bilinmeyen kayıt türünü destekleyecek şekilde güncellendi.
Daha fazla bilgi için aşağıdaki Windows Server 2016 Windows PowerShell komut başvuru konularına bakın.