Server 2016: Use diretivas de DNS para permitir consultas a domínios específicos de sub-redes específicas

Question

Server 2016: Use diretivas de DNS para permitir consultas a domínios específicos de sub-redes específicas

#1 resposta do (0 votos)

1

Em um servidor DNS público, eu gostaria de criar uma regra usando diretivas de DNS para permitir tráfego para um domínio específico somente de sub-redes especificadas.

Por exemplo, digamos que tenhamos um domínio contoso.com , mas queremos apenas permitir que uma sub-rede específica faça uma consulta ( observe que existem outros domínios que podem ser consultados publicamente neste servidor ). Usando políticas de DNS, posso facilmente bloquear uma sub-rede específica de consultar um domínio específico, mas não consigo descobrir permitir que uma sub-rede específica consulte um domínio específico.

Os seguintes itens funcionam para bloquear :

Add-DnsServerQueryResolutionPolicy -Name "Disallow_Contoso" -Action IGNORE -ClientSubnet "EQ,LocalSubnet10.x" –FQDN "EQ,*.contoso.com" -PassThru

Mas o seguinte não funciona para permitir :

Add-DnsServerQueryResolutionPolicy -Name "Allow_Contoso" -Action ALLOW -ClientSubnet "EQ,LocalSubnet10.x" –FQDN "EQ,*.contoso.com" -PassThru

O erro retornado de Powershell no segundo comando é:

Add-DnsServerQueryResolutionPolicy : Failed to create policy Allow_Contoso on DNS server DNS1. Please see internal exception for details.
At line:1 char:1
+ Add-DnsServerQueryResolutionPolicy -Name "Allow_Contoso" -Action ALLOW  ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo          : InvalidArgument: (Allow_Contoso:root/Microsoft/...esolutionPolicy) [Add-DnsServerQueryResolutionPolicy], CimException
+ FullyQualifiedErrorId : WIN32 87,Add-DnsServerQueryResolutionPolicy

Parece que o -Action ALLOW não é permitido neste contexto, mas não posso confirmar isso com base na mensagem de erro oculta.

dns powershell windows-server-2016

por Beems 23.07.2018 / 23:48

1 resposta

Tags dns powershell windows-server-2016

Permissão negada tentando git clone over ssh powershell: como detectar um dispositivo usb desinstalado?

score 0 · Accepted Answer

Depois de muita tentativa e erro, o seguinte está funcionando:

Add-DnsServerClientSubnet -Name "Subnet192.x" -IPv4Subnet 192.168.0.0/24
Add-DnsServerZoneScope -ZoneName "contoso.com" -Name "SpecialSubnet" -PassThru
Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "test" -IPv4Address "10.10.0.1" -ZoneScope "SpecialSubnet" -PassThru
Add-DnsServerQueryResolutionPolicy -Name "SpecialPolicy" -Action ALLOW -ClientSubnet "eq,Subnet192.x" -ZoneScope "SpecialSubnet,1" -ZoneName "contoso.com" -PassThru

Portanto, se o dispositivo de consulta estiver fora da sub-rede 192.168.0.0/24, a zona DNS nativa responderá com um registro "A" para test.contoso.com (supondo que tenha sido criado manualmente). Se o dispositivo de consulta estiver na sub-rede 192.168.0.0/24, a política criada aqui responderá com 10.10.0.1 a uma consulta de test.contoso.com .