配置Windows Server以将DNS请求转发到Umbrella

下载选项

  • PDF     (338.9 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (108.8 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (153.9 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2025 年 9 月 4 日
文档 ID:224765

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何配置Windows Server以将DNS请求转发到Umbrella,以增强客户端保护和日志记录。

    概述

    Windows Server可以通过充当DNS转发器来保护使用网络标识的客户端。域控制器或具有DNS角色的任何其他服务器可以从注册网络向Umbrella发送DNS。

    配置步骤

    1. 打开DNS管理dnsmgmt.msc()。
    2. 在树中右键单击服务器名称,然后选择属性
    3. 选择Forwarders选项卡。
    4. 单击Edit...并输入Umbrella DNS服务器IP地址
    5. 在“编辑转发器”(Edit Forwarders)窗口中单击确定。条目显示在转发器列表中。
    6. 如果没有可用的转发器,请取消选中标记为Use root hints的框。
      mceclip0.pngmceclip0.png

    最佳实践说明

    • 确保Use root hints if no forwarders are available保持未选中状态。如果选中,则Umbrella保护和日志记录会变得不一致。例如,如果域未通过DNSSEC验证或受到DDoS缓解事件影响,Windows DNS服务器可以认为Umbrella无响应并尝试使用根提示直接递归,从而绕过Umbrella。

    • 仅使用Umbrella作为转发器。请勿配置任何第三方解析器。Umbrella只能记录并保护它收到的DNS查询。

    • 为了实现冗余,请将所有四个Umbrella任播IP地址配置为转发器,如上面的屏幕截图所示。

    • 如果使用Umbrella站点和虚拟设备,请指向本地虚拟设备作为转发器,而不是Umbrella任播地址。

      • 避免请求环路:如果虚拟设备将您的服务器列为本地DNS服务器之一,请勿将该虚拟设备添加为转发器。
      • 虚拟设备只能查看DNS服务器的IP地址,而不能查看其所服务的各个客户端的地址。
      • 如果将Active Directory与虚拟设备集成,请将Windows DNS服务器IP添加为例外。导航到Umbrella控制面板中的部署>站点和Active Directory >服务帐户例外,并添加DNS服务器IP。这样可以防止用户身份与服务器流量的分配不正确。

    • 请勿将Umbrella服务器添加到Root Hints选项卡。Umbrella DNS服务器是递归解析器,不用作迭代查找的根。将它们添加为根提示会导致不良行为,并绕过Umbrella保护和日志记录。

    修订历史记录

    版本 发布日期 备注
    1.0
    04-Sep-2025
    初始版本
    TAC Authored

    由思科工程师提供

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品