配置Windows Server以將DNS請求轉發到Umbrella
簡介
本文檔介紹如何配置Windows Server以將DNS請求轉發到Umbrella,以增強客戶端保護和日誌記錄。
概觀
Windows Server可以通過充當DNS轉發器來保護使用網路標識的客戶端。域控制器或具有DNS角色的任何其他伺服器可以從註冊網路將DNS傳送到Umbrella。
設定步驟
- 開啟DNS Manager(
dnsmgmt.msc)。 - 在樹中按一下右鍵伺服器名稱,然後選擇屬性。
- 選擇Forwarders頁籤。
- 按一下Edit...並輸入Umbrella DNS server IP地址。
- 在「編輯轉發器」(Edit Forwarders)視窗中按一下確定。條目顯示在轉發器清單中。
- 如果沒有可用的轉發器,取消選中標籤為Use root hints的框。
mceclip0.png
最佳實踐說明
-
確保Use root hints if no forwarders are available(如果沒有可用的轉發器,則使用根提示)未選中。如果選中,則Umbrella保護和日誌記錄變得不一致。例如,如果域未通過DNSSEC驗證或受到DDoS緩解事件的影響,則Windows DNS伺服器可以認為Umbrella無響應並嘗試使用根提示直接遞迴,從而繞過Umbrella。
-
僅使用Umbrella作為轉發器。請勿配置任何第三方解析程式。Umbrella只能記錄和保護其接收的DNS查詢。
-
為了獲得冗餘,請將所有四個Umbrella任播IP地址配置為轉發器,如前面的螢幕截圖所示。
-
如果使用Umbrella站點和虛擬裝置,請指向本地虛擬裝置作為轉發器,而不是Umbrella任播地址。
- 避免請求循環:如果虛擬裝置將您的伺服器列為本地DNS伺服器之一,請勿將該虛擬裝置新增為轉發器。
- 虛擬裝置只能檢視DNS伺服器的IP地址,而不能檢視其服務的各個客戶端的地址。
- 如果將Active Directory整合與虛擬裝置一起使用,請將Windows DNS伺服器IP新增為例外。導航到Umbrella Dashboard中的Deployments > Sites and Active Directory > Service Account Exceptions,然後新增DNS伺服器IP。這樣可以防止使用者標識與伺服器流量的不正確歸屬。
-
請勿將Umbrella伺服器新增到Root Hints選項卡。Umbrella DNS伺服器是遞迴解析器,不用作迭代查詢的根。將它們新增為根提示會導致不期望的行為,並繞過Umbrella保護和日誌記錄。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
04-Sep-2025
|
初始版本 |
意見