News
BAE'de yeni veri merkezi - Equinix DX1
May 25, 2023
Updated June 7, 2023

Windows Server DNS sunucusu yapılandırma

DNS Windows

DNS (Domain Name System), alan adlarını IP adreslerine veya tam tersine çevirmenizi sağlayan bir sistemdir.

DNS sunucusu, DNS'nin çalışmasını sağlayan ve sürdüren bir ağ hizmetidir. DNS sunucusu, çoğu makinede çalışabilen kolay ve hafif bir hizmettir. Hedef makinede başka roller ve hizmetler yapılandırmayı düşünmüyorsanız, minimum yapılandırma yeterlidir.

Bir DNS sunucusu nasıl kurulur:

  • DNS sunucusu için ağ bağdaştırıcısını yapılandırma;
  • DNS Sunucusu Rolünün Yüklenmesi;
  • İleri arama bölgesi oluşturma;
  • Ters arama bölgesi oluşturma;
  • Bir (A) kaydı oluşturun;
  • Windows Server 2016'da yeni olan veya değiştirilen Etki Alanı Adı Sistemi (DNS) özelliklerini açıklar.

DNS sunucusunda ağ bağdaştırıcısını yapılandırma

Bir DNS sunucusu kurmak için bir etki alanı bölgesi gerekir. Kişisel hesabınızda özel bir ağ oluşturmanız ve sanal makineleri buna bağlamanız gerekir.

Makine her iki ağa da bağlandıktan sonra, hangi bağlantının yapılandırılması gerektiğini hatırlamak önemlidir. Genellikle, bir ağ bağdaştırıcısı en başından itibaren varsayılan olarak İnternet erişimi ile kurulur. Aynı zamanda diğer ek ağ bağdaştırıcıları, yapılandırma manuel olarak gerçekleştirilinceye kadar İnternet erişimine sahip değildir:

Ağ bağdaştırıcısını yapılandırma

İmleci sistem tepsisindeki ağ simgesinin üzerine getirdiğinizde, ağlar hakkında kısa bilgiler içeren bir araç ipucu bulabilirsiniz. Yukarıdaki örneği izleyerek, katılınan ağın Ağ 3 olduğunu görebilirsiniz.

Bir dizi eylem gerçekleştirin:

  • Başlat'a sağ tıklayın ve açılır menüden Ağ Bağlantıları'nı seçin;
  • Gerekli ağ bağdaştırıcısına sağ tıklayın ve menüden Özellikler'i seçin;
  • Özellikler penceresinde IPv4'ü seçin ve Özellikler düğmesine tıklayın;
  • Uygun alanları gerekli verilerle doldurun:

Bir dizi eylem gerçekleştirin

Burada, makine tercih edilen DNS sunucusu olarak atanır ve alternatif dns.google [8.8.8.8] olarak atanır.

DNS sunucusu rolünü yükleme

Windows Server'a yeni roller eklemek için Sunucu Yöneticisi'ndeki Rol ve Özellik Ekleme Sihirbazı'nı kullanırsınız.

Sunucu Yöneticisi'nin üst gezinti çubuğunda Yönet menüsünü tıklatın ve ardından Rol ve Özellik Ekle'yi seçin:

DNS sunucusu rolünü yükleme

Burada Sihirbaz, aşağıdaki görevlerin tamamlanıp tamamlanmadığını doğrulamanızı önerir:

  1. Yönetici hesabının güçlü bir parolası vardır;
  2. Statik IP adresleri gibi ağ ayarları yapılandırılır;
  3. Windows Update'ten en güncel güvenlik güncelleştirmeleri yüklenir.

Tüm koşulların karşılandığından eminseniz, "Next" (İleri) düğmesine tıklayın;

"Role-based" (Rol tabanlı) veya "feature-based" (özellik tabanlı) kurulumu seçin ve "Next" (İleri) düğmesine tıklayın:

DNS sunucusu rolünü yükleme

Sunucu havuzundan istediğiniz bir sunucuyu seçin ve "Next" (İleri) düğmesine tıklayın:

sunucu havuzundan istediğiniz bir sunucuyu seçin

DNS sunucusu rolünü işaretleyin ve Next (İleri) düğmesine tıklayın:

DNS sunucusu rolünü işaretleyin

Yüklenecek özelliklerin listesini kontrol edin ve Add Features (Özellik Ekle) öğesine tıklayarak onaylayın:

yüklenecek özellikler listesini kontrol edin ve onaylayın

Özellik listesini olduğu gibi tutun ve Next (İleri) düğmesine tıklayın:

özelliklerin listesini saklayın

Bilgileri okuyun ve Next (İleri) düğmesine tıklayın:

DNS rolleri hakkındaki bilgileri okuyun

Kurulum yapılandırmasını bir kez daha kontrol edin ve Install (Yükle) düğmesine tıklayarak kararınızı onaylayın:

Kurulum yapılandırmasını kontrol edin

Son onay ekranı kurulumun başarıyla tamamlandığını bildirir ve kurulum Sihirbazını kapatabilirsiniz:

son onay ekranı

İleri ve geri arama bölgeleri oluşturma

Bir alan adı bölgesi - belirli bir alan adı içindeki bir dizi alan adı.

Forward lookup zones isimleri IP adreslerine çözümler.

Ters arama bölgeleri IP adreslerini isimlere çözümler.

Bölgeleri oluşturmak ve yönetmek için DNS Yöneticisini kullanmanız gerekir.

Sunucu Yöneticisi'nin üst gezinti çubuğunda "Tools menu" (Araçlar menüsü}) öğesine tıklayın ve açılan listeden DNS öğesini seçin:

İleri ve geri arama bölgeleri oluşturma

İleri arama bölgesi oluşturma

  • İleri Arama Bölgeleri klasörüne sağ tıklayın, "New Zone" (Yeni Bölge) seçeneğini seçin. Bu, Yeni Bölge Sihirbazını açacaktır:

ileri arama bölgesi oluşturma

  • Sihirbazın Hoş Geldiniz ekranında "Next" (İleri) düğmesine tıklayın:

DNS Yöneticisi Sihirbazı'nın karşılama ekranı

  • Bölge Türü ekranında Birincil Bölge'yi seçin ve "Next" (İleri) düğmesine tıklayın:

Bölge Tipi ekranında, Birincil Bölge'yi seçin

  • Adı girin ve "Next" (İleri) düğmesine tıklayın:

enter the name of DNS zone

  • Gerekirse, gelecekteki bölge dosyasının adını değiştirin ve "Next" (İleri) düğmesine tıklayın:

gelecekteki DNS bölge dosyasının adını değiştirme

  • Dinamik güncellemelere izin vermek isteyip istemediğinizi seçmelisiniz. Önemli bir güvenlik açığı nedeniyle buna izin verilmesi önerilmez. "Next" (İleri) düğmesine tıklayın:

DNS bölgesinin dinamik güncellemelerine izin verip vermeme

  • Seçilen ayarların doğru olduğunu doğrulayın, "Finish" (Son) düğmesine tıklayın::

DNS bölgesinin seçilen ayarlarının doğru olduğunu doğrulayın

Bir ters arama bölgesi oluşturma

  • DNS Yöneticisini açın ve "Reverse Lookup Zones" (Ters Arama Bölgeleri) klasörüne sağ tıklayın, Yeni Bölge'yi seçin. Bu, Yeni Bölge Sihirbazını açacaktır:

ters arama bölgesi oluşturma

  • "Zone Type" (Bölge Tipi) ekranında, "Primary Zone" (Birincil Bölge) seçeneğini seçin ve "Next" (İleri) düğmesine tıklayın:

on the Zone Type screen, Select Primary Zone

  • İlk "Reverse Lookup Zone Name" (Ters Arama Bölgesi Adı) sayfasında IPv4'ü seçin, "Next" (İleri) düğmesine tıklayın:

İlk Ters Arama Bölgesi Adı sayfasında IPv4'ü seçin

  • Ağ kimliğini (IP adresinin ilk üç okteti) yazın ve "Next" (İleri) düğmesine tıklayın:

ağ kimliğini yazın

  • Gerekirse, gelecekteki bölge dosyasının adını değiştirin ve "Next" (İleri) düğmesine tıklayın:

gelecekteki bölge dosyasının adını değiştirin

  • Dinamik güncellemelere izin vermek isteyip istemediğinizi seçmelisiniz. Önemli bir güvenlik açığı nedeniyle buna izin verilmesi önerilmez. "Next" (İleri) düğmesine tıklayın:

dinamik güncellemelere izin vermek isteyip istemediğinizi seçin

  • Seçilen ayarların doğru olduğunu doğrulayın, "Finish" (Son) düğmesine tıklayın:

Yeni bölgenin ayarlarını doğrulayın

Ana bilgisayar (A) kaydı oluşturma

Kılavuzun bu bölümü, daha önce gerçekleştirdiğiniz tüm adımları çoğunlukla kontrol etmek içindir.

Kaynak Kaydı, DNS'de bilgi depolama ve iletim birimidir. RR'ler ana bilgisayar adı ve IP bilgilerinin temel yapı taşlarıdır ve tüm DNS sorgularını çözümlemek için kullanılır.

Kayıt A - ana bilgisayar adlarını ana bilgisayarın IP adresiyle eşleştirmenizi sağlayan bir kayıttır.

PTR Kaydı — A Kaydının ters versiyonudur.

  • "DNS Manager" (DNS Yöneticisi) içindeki "Forward Lookup Zones" (İleri Arama Bölgeleri) klasörünü açın ve bölge klasörünü bulun. "DNS Manager "nin (DNS Yöneticisi) sağ kısmına sağ tıklayın ve "New Host" (Yeni Ana Bilgisayar) (a veya AAA) öğesini seçin:

bir ana bilgisayar (A) kaydı oluşturma

  • "New Host" (Yeni Ana Bilgisayar) sayfası açılır. "Name" (Ad) kısmına ana bilgisayarın adını (alan adı olmadan, alan adı olarak Bölgenin adını kullanacaktır) ve IP adresinizi yazın. "Create associated pointer (PTR) record"(İlişkili işaretçi (PTR) kaydı oluştur) bölümünü işaretleyerek hem "Forward"(İleri) hem de "Reverse Lookup Zones"(Ters Arama Bölgeleri)'nin düzgün çalıştığını doğrulayın:

ana bilgisayarın adını ve IP adresinizi yazın

"Name field" (Ad alanı) boşsa, ana alan adını kullanır.

  • Diğer sunucular için de kayıt ekleyebilirsiniz:

diğer sunucular için kayıt ekleme

  • İşiniz bittiğinde "Done" (Bitti) düğmesine tıklayın.

Her şeyin doğru olduğundan emin olmak

  • Bölgelerin klasörlerindeki değişiklikleri kontrol edin (aşağıdaki örnekte her birinde 2 kayıt göründüğünü görebilirsiniz):

bölgelerin klasörlerindeki değişiklikleri kontrol edin

bölgelerin klasörlerindeki değişiklikleri kontrol edin

  • Komut satırını (cmd) veya PowerShell'i açın ve nslookup komutunu çalıştırın:

nslookup komutunu çalıştırın

Varsayılan DNS sunucusunun 10.0.1.6 adresiyle example-2012.com olduğunu gösterir.

İleri ve Geri Bölgelerinin düzgün çalıştığından emin olmak için iki sorgu gönderebilirsiniz:

  • Etki alanını sorgulamak için;
  • IP adresini sorgulamak için:

İleri ve Geri Bölgelerinin düzgün çalıştığından emin olun

Örnekte, her iki sorgu için de uygun yanıtlar aldık.

  • Harici bir kaynağa sorgu gönderme seçeneği vardır:

harici bir kaynağa sorgu gönderme

Burada yeni bir satır görüyoruz "Non-authoritative answer" (Yetkili olmayan cevap). Bu, DNS sunucumuzun alan adının orijinal bölge dosyalarını içermediği anlamına gelir. Aşağıda görüntülenen bilgiler yetkili bir sunucudan alınmış olsa da, bu durumda kendisi yetkili değildir.

Karşılaştırmak için, aynı sorguların tümü ileri ve geri bölgelerin yapılandırılmadığı sunucuda yapılmıştır:

yapılandırılmamış bölgelerle karşılaştırma

Burada, makine kendisini varsayılan DNS sunucusu olarak atamıştır. IP adresi (10.0.1.7) için kaynak kaydı olmadığından DNS sunucusu etki alanı adı bilinmiyor olarak görüntülenir. Aynı nedenle, 2. sorgu bir hata döndürür ("Non-existent domain" (Var olmayan etki alanı)).

Windows Server 2016'da yeni olan veya değiştirilen Etki Alanı Adı Sistemi (DNS) özelliklerinin açıklaması.

Windows Server 2016'da, DNS Sunucusu aşağıdaki alanlarda güncelleştirmeler sunar:

  1. DNS Sunucu İlkeleri;
  2. Yanıt Oranı Sınırı (RRL);
  3. DNS Tabanlı Adlandırılmış Varlık Kimlik Doğrulaması (DANE);
  4. Bilinmeyen kayıt desteği;
  5. IPv6 kök ipuçları;
  6. Windows PowerShell Desteği.

DNS Sunucu İlkeleri

Artık bu özellikleri kullanabilirsiniz:

  • Coğrafi Konum tabanlı trafik yönetimi için DNS Politikası;
  • Bölünmüş beyin dağıtımı için yapılandırılmış tek bir DNS sunucusunu yönetmek için günün saatine göre akıllı DNS yanıtları;
  • DNS sorgularına filtreler uygulayın ve daha fazlasını yapın.

Bu özelliklerin spesifik tanımı:

Uygulama Yük Dengeleme
Bir uygulamanın birden fazla örneğini farklı konumlara dağıttığınızda, trafik yükünü farklı uygulama örnekleri arasında dengelemek için DNS ilkesini kullanabilir ve trafik yükünü uygulamaya dinamik olarak tahsis edebilirsiniz.

Geo-Lokasyon Tabanlı Trafik Yönetimi
Birincil ve ikincil DNS sunucularının, hem istemcinin hem de istemcinin bağlanmaya çalıştığı kaynağın coğrafi konumuna bağlı olarak DNS istemci sorgularına yanıt vermesine ve istemciye en yakın kaynağın IP adresini sağlamasına izin vermek için DNS İlkesi'ni kullanabilirsiniz.

Bölünmüş Beyin DNS
Bölünmüş beyinli DNS ile, DNS kayıtları aynı DNS sunucusunda farklı Bölge Kapsamlarına bölünür ve DNS istemcileri, istemcilerin dahili veya harici istemciler olmasına göre bir yanıt alır. Bölünmüş beyinli DNS'yi Active Directory tümleşik bölgeleri veya bağımsız DNS sunucularındaki bölgeler için yapılandırabilirsiniz.

Filtreleme
DNS ilkesini, sağladığınız ölçütleri temel alan sorgu filtreleri oluşturacak şekilde yapılandırabilirsiniz. DNS ilkesindeki sorgu filtreleri, DNS sunucusunu DNS sorgusuna ve DNS sorgusunu gönderen DNS istemcisine göre özel bir şekilde yanıt verecek şekilde yapılandırmanıza olanak tanır.

Forensik
Kötü niyetli DNS istemcilerini ulaşmaya çalıştıkları bilgisayara yönlendirmek yerine var olmayan bir IP adresine yönlendirmek için DNS ilkesini kullanabilirsiniz.

Günün saatine dayalı yönlendirme
Günün saatini temel alan DNS ilkelerini kullanarak uygulama trafiğini bir uygulamanın coğrafi olarak dağıtılmış farklı örnekleri arasında dağıtmak için DNS ilkesini kullanabilirsiniz.

Ayrıca Active Directory tümleşik DNS bölgeleri için DNS ilkelerini de kullanabilirsiniz.

Yanıt Oranı Sınırlaması (RRL)

Sunucunuz aynı istemciyi hedefleyen birden fazla istek aldığında bir DNS istemcisine gelen isteklere nasıl yanıt verileceğini kontrol etmek için RRL ayarlarını yapılandırabilirsiniz.

Bunu yaparak, birisinin DNS sunucularınızı kullanarak Hizmet Reddi (Dos) saldırısı göndermesini önleyebilirsiniz.

Örneğin, bir bot ağı, istek sahibi olarak üçüncü bir bilgisayarın IP adresini kullanarak DNS sunucunuza istek gönderebilir. RRL olmadan, DNS sunucularınız tüm isteklere yanıt vererek üçüncü bilgisayarı sular altında bırakabilir.

RRL kullandığınızda, aşağıdaki ayarları yapılandırabilirsiniz:

Saniye başına yanıt Bu, bir saniye içinde bir istemciye aynı yanıtın en fazla kaç kez verildiğidir.

Saniye başına hata Bu, aynı istemciye bir saniye içinde en fazla kaç kez hata yanıtı gönderildiğini gösterir.

Pencere Bu, çok fazla istek yapılması durumunda bir istemciye verilen yanıtların askıya alındığı saniye sayısıdır.

Sızıntı oranı Bu, yanıtların askıya alındığı süre boyunca DNS sunucusunun bir sorguya ne sıklıkta yanıt verdiğidir. Örneğin, sunucu bir istemcinin yanıtlarını 10 saniye süreyle askıya alırsa ve sızıntı oranı 5 ise, sunucu gönderilen her 5 sorgu için bir sorguya yanıt vermeye devam eder. Bu, DNS sunucusu alt ağlarında veya FQDN'lerinde yanıt hızı sınırlaması uyguladığında bile meşru istemcilerin yanıt almasını sağlar.

TC oranı Bu, istemciye yanıtlar askıya alındığında istemciye TCP ile bağlanmayı denemesini söylemek için kullanılır. Örneğin, TC oranı 3 ise ve sunucu belirli bir istemciye verilen yanıtları askıya alırsa, sunucu alınan her 3 sorgu için bir TCP bağlantısı isteği gönderir. İstemciye yanıtları sızdırmadan önce TCP ile bağlanma seçeneği sunmak için TC oranı değerinin sızıntı oranından düşük olduğundan emin olun.

Maksimum yanıtlar Bu, yanıtlar askıya alınırken sunucunun bir istemciye verdiği maksimum yanıt sayısıdır.

Allowlist etki alanları Bu, RRL ayarlarından hariç tutulacak etki alanlarının bir listesidir.

Allowlist subnets Bu, RRL ayarlarından hariç tutulacak alt ağların bir listesidir.

Allowlist sunucu arabirimleri Bu, RRL ayarlarından hariç tutulacak DNS sunucu arabirimlerinin bir listesidir.

DNS Tabanlı Adlandırılmış Varlık Kimlik Doğrulaması (DANE)

DANE desteğini (RFC 6394 ve 6698) kullanarak DNS istemcilerinize DNS sunucunuzda barındırılan alan adları için hangi CA'dan sertifika verilmesini beklemeleri gerektiğini belirtebilirsiniz. Bu, birisinin DNS önbelleğini bozabileceği ve bir DNS adını kendi IP adresine yönlendirebileceği bir tür ortadaki adam saldırısını önler.

Bilinmeyen kayıt desteği

"Unknown Record" (Bilinmeyen Kayıt), RDATA biçimi DNS sunucusu tarafından bilinmeyen bir RR'dir. Bilinmeyen kayıt (RFC 3597) türleri için yeni eklenen destek, desteklenmeyen kayıt türlerini Windows DNS sunucusu bölgelerine ikili on-wire biçiminde ekleyebileceğiniz anlamına gelir. Windows önbelleğe alma çözümleyicisi zaten bilinmeyen kayıt türlerini işleme yeteneğine sahiptir. Windows DNS sunucusu bilinmeyen kayıtlar için herhangi bir kayda özel işlem yapmaz, ancak sorgu alınırsa yanıt olarak geri gönderir.

IPv6 kök ipuçları

IANA tarafından yayınlanan IPV6 kök ipuçları Windows DNS sunucusuna eklenmiştir. İnternet isim sorguları artık isim çözümlemelerini gerçekleştirmek için IPv6 kök sunucularını kullanabilir.

Windows PowerShell desteği

Aşağıdaki yeni Windows PowerShell cmdlet'leri ve parametreleri Windows Server 2016'da tanıtılmıştır:

Add-DnsServerRecursionScope - Bu cmdlet DNS sunucusunda yeni bir özyineleme kapsamı oluşturur. Özyineleme kapsamları, DNS ilkeleri tarafından bir DNS sorgusunda kullanılacak ileticilerin listesini belirtmek için kullanılır.

Remove-DnsServerRecursionScope - Bu cmdlet mevcut özyineleme kapsamlarını kaldırır.

Set-DnsServerRecursionScope - Bu cmdlet, mevcut bir özyineleme kapsamının ayarlarını değiştirir.

Get-DnsServerRecursionScope - Bu cmdlet, mevcut özyineleme kapsamları hakkında bilgi alır.

Add-DnsServerClientSubnet - Bu cmdlet yeni bir DNS istemcisi alt ağı oluşturur. Alt ağlar, DNS ilkeleri tarafından bir DNS istemcisinin bulunduğu yeri tanımlamak için kullanılır.

Remove-DnsServerClientSubnet - Bu cmdlet varolan DNS istemci alt ağlarını kaldırır.

Set-DnsServerClientSubnet - Bu cmdlet varolan bir DNS istemci alt ağının ayarlarını değiştirir.

Get-DnsServerClientSubnet - Bu cmdlet varolan DNS istemci alt ağları hakkında bilgi alır.

Add-DnsServerQueryResolutionPolicy - Bu cmdlet yeni bir DNS sorgu çözümleme ilkesi oluşturur. DNS sorgu çözümleme ilkeleri, farklı ölçütlere göre bir sorguya nasıl yanıt verileceğini veya yanıt verilip verilmeyeceğini belirtmek için kullanılır.

Remove-DnsServerQueryResolutionPolicy - Bu cmdlet varolan DNS ilkelerini kaldırır.

Set-DnsServerQueryResolutionPolicy - Bu cmdlet varolan bir DNS ilkesinin ayarlarını değiştirir.

Get-DnsServerQueryResolutionPolicy - Bu cmdlet varolan DNS ilkeleri hakkında bilgi alır.

Enable-DnsServerPolicy - Bu cmdlet varolan DNS ilkelerini etkinleştirir.

Disable-DnsServerPolicy - Bu cmdlet varolan DNS ilkelerini devre dışı bırakır.

Add-DnsServerZoneTransferPolicy - Bu cmdlet yeni bir DNS sunucusu bölge aktarma ilkesi oluşturur. DNS bölge aktarım ilkeleri, farklı ölçütlere göre bir bölge aktarımının reddedilip reddedilmeyeceğini veya yok sayılıp sayılmayacağını belirtir.

Remove-DnsServerZoneTransferPolicy - Bu cmdlet varolan DNS sunucusu bölge aktarma ilkelerini kaldırır.

Set-DnsServerZoneTransferPolicy - Bu cmdlet varolan bir DNS sunucusu bölge aktarma ilkesinin ayarlarını değiştirir.

Get-DnsServerResponseRateLimiting< - Bu cmdlet RRL ayarlarını alır.

Set-DnsServerResponseRateLimiting - Bu cmdlet RRL ayarlarını değiştirir.

Add-DnsServerResponseRateLimitingExceptionlist - Bu cmdlet, DNS sunucusunda bir RRL özel durum listesi oluşturur.

Get-DnsServerResponseRateLimitingExceptionlist- Bu cmdlet, RRL istisna listelerini alır.

Remove-DnsServerResponseRateLimitingExceptionlist - Bu cmdlet varolan bir RRL özel durum listesini kaldırır.

Set-DnsServerResponseRateLimitingExceptionlist - Bu cmdlet, RRL özel durum listelerini değiştirir.

Add-DnsServerResourceRecord - Bu cmdlet bilinmeyen kayıt türünü destekleyecek şekilde güncellendi.

Get-DnsServerResourceRecord - Bu cmdlet bilinmeyen kayıt türünü destekleyecek şekilde güncellendi.

Remove-DnsServerResourceRecord - Bu cmdlet bilinmeyen kayıt türünü destekleyecek şekilde güncellendi.

Set-DnsServerResourceRecord - Bu cmdlet bilinmeyen kayıt türünü destekleyecek şekilde güncellendi.

Daha fazla bilgi için aşağıdaki Windows Server 2016 Windows PowerShell komut başvuru konularına bakın.

Powershell DNS Sunucusu
Powershell DNS İstemcisi

Vote:
5 out of 5
Аverage rating : 5
Rated by: 1
34384 İstanbul İzzetpaşa Mah. Yeni Yol Cad. No:3 / 336 Şişli
+90 212 900-35-36
700 300
IT-GRAD NL B.V.
700 300
Hizmetlerimizi sunmak, analizler yapmak ve pazarlama için çerezleri kullanıyoruz. Çerez kullanımımız hakkında daha fazla bilgi edinmek için lütfen Gizlilik Politikamıza bakın. Web sitemize göz atmaya devam ederek çerez kullanımımızı kabul etmiş olursunuz.