Konfigurieren von Windows Server zum Weiterleiten von DNS-Anforderungen an Umbrella

Download-Optionen

  • PDF     (263.1 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (114.3 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (161.8 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:4. September 2025
Dokument-ID:224765

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie Windows Server für die Weiterleitung von DNS-Anforderungen an Umbrella konfiguriert wird, um den Schutz und die Protokollierung von Clients zu verbessern.

    Überblick

    Windows Server kann Clients mit einer Netzwerkidentität schützen, indem es als DNS-Forwarder fungiert. Domänencontroller oder andere Server mit der DNS-Rolle können DNS von einem registrierten Netzwerk an Umbrella senden.

    Konfigurationsschritte

    1. Öffnen Sie den DNS-Manager (dnsmgmt.msc).
    2. Klicken Sie mit der rechten Maustaste auf den Servernamen in der Struktur und wählen Sie Eigenschaften.
    3. Wählen Sie die Registerkarte Forwarders (Weiterleitungen) aus.
    4. Klicken Sie auf Edit... und geben Sie die IP-Adressen des Umbrella DNS-Servers ein.
    5. Klicken Sie im Fenster "Weiterleitungen bearbeiten" auf OK. Die Einträge werden in der Liste der Weiterleitungen angezeigt.
    6. Deaktivieren Sie das Kontrollkästchen Stammhinweise verwenden, wenn keine Weiterleitungen verfügbar sind.
      mceclip0.pngmceclip0.png

    Hinweise zu Best Practices

    • Stellen Sie sicher, dass Stammhinweise verwenden, wenn keine Weiterleitungen verfügbar sind, deaktiviert bleibt. Wenn diese Option aktiviert ist, werden Umbrella-Schutz und -Protokollierung inkonsistent. Wenn beispielsweise eine Domäne die DNSSEC-Validierung nicht besteht oder einem DDoS-Eindämmungsereignis unterliegt, kann der Windows DNS-Server Umbrella als nicht reagierend betrachten und eine direkte Rekursion mithilfe von Root-Hinweisen unter Umgehung von Umbrella versuchen.

    • Verwenden Sie nur Umbrella als Forwarder. Konfigurieren Sie keine Resolver anderer Anbieter. Umbrella kann nur empfangene DNS-Abfragen protokollieren und schützen.

    • Konfigurieren Sie aus Redundanzgründen alle vier Umbrella Anycast IP-Adressen als Forwarder, wie im vorherigen Screenshot gezeigt.

    • Wenn Sie Umbrella-Standorte und virtuelle Appliances verwenden, verweisen Sie auf eine lokale virtuelle Appliance als Weiterleitung anstelle von Umbrella Anycast-Adressen.

      • Vermeiden Sie Anforderungsschleifen: Wenn Ihr Server von einer virtuellen Appliance als einer seiner lokalen DNS-Server aufgeführt wird, fügen Sie diese virtuelle Appliance nicht als Forwarder hinzu.
      • Eine virtuelle Appliance erkennt nur die IP-Adresse des DNS-Servers, nicht die Adressen der einzelnen Clients, die sie bedient.
      • Wenn Sie die Active Directory-Integration mit der virtuellen Appliance verwenden, fügen Sie die IP-Adresse des Windows DNS-Servers als Ausnahme hinzu. Navigieren Sie im Umbrella Dashboard zu Deployments > Sites and Active Directory > Service Account Exceptions, und fügen Sie die IP-Adresse des DNS-Servers hinzu. Dadurch wird eine falsche Zuweisung von Benutzeridentitäten zum Serververkehr verhindert.

    • Fügen Sie Umbrella-Server nicht zur Registerkarte Root Hints hinzu. Umbrella DNS Server sind rekursive Resolver und dienen nicht als Roots für iterative Lookups. Wenn Sie diese als Root-Tipps hinzufügen, führt dies zu unerwünschtem Verhalten und umgeht den Umbrella-Schutz und die Protokollierung.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    04-Sep-2025
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.