Рекомендация. Настройте все зоны DNS на перенос зон исключительно на указанные IP-адреса
Если перенос зоны настроен так, что позволяет переносить зоны на любой сервер, ваши данные зоны службы доменных имен (DNS) могут быть переданы на мошеннический DNS-сервер. Эти раскрытые данные зоны DNS могут сделать вашу сеть более уязвимой для атак, потому что эти данные зоны DNS могут помочь злоумышленникам получить более полное представление о вашей сети с точки зрения доменных имен, имен компьютеров и IP-адресов ваших конфиденциальных сетевых ресурсов.
Посмотрите, как инженер по работе с клиентами объясняет проблему
Контекст & рекомендации
Процесс репликации файла зоны на несколько DNS-серверов называется переносом зоны. Перенос зоны достигается путем копирования файла зоны с одного DNS-сервера на другой. Источником информации о зоне в ходе такого переноса является основной DNS-сервер. Главный DNS-сервер может быть основным или дополнительным. Если главный DNS-сервер является основным, перенос зоны происходит непосредственно с DNS-сервера, где размещена основная зона. Если главный сервер является дополнительным, то файл зоны, полученный с основного DNS-сервера с помощью переноса зоны, является копией файла дополнительной зоны, доступного только для чтения.
Система доменных имен (DNS) изначально была разработана как открытый протокол и поэтому уязвима для злоумышленников. По умолчанию служба DNS-сервера позволяет переносить информацию о зоне только на серверы, перечисленные в записях ресурсов сервера имен (NS) зоны. Это безопасная конфигурация, но для повышения безопасности эта настройка должна быть изменена на вариант, позволяющий осуществлять перенос зон на указанные IP-адреса. Если вы измените эту настройку, позволив перенос зон на любой сервер, это может раскрыть ваши данные DNS злоумышленнику, пытающемуся получить отпечаток сети.
Получение отпечатка (футпринтинг) — это процесс получения злоумышленником данных зоны DNS, дающий ему доступ к доменным именам, именам компьютеров и IP-адресам конфиденциальных сетевых ресурсов. Злоумышленник обычно начинает атаку, используя эти данные DNS для создания диаграммы, или отпечатка, сети. Имена доменов и компьютеров DNS обычно указывают функцию или местоположение домена или компьютера, чтобы пользователям было проще запомнить и идентифицировать домены и компьютеры. Злоумышленник использует тот же принцип DNS, чтобы узнать функцию или расположение доменов и компьютеров в сети.
Изучите следующие рекомендации по конфигурации переноса зон с точки зрения безопасности:
- Низкий уровень безопасности. Все зоны DNS разрешают перенос зоны на любой сервер.
- Средний уровень безопасности. Все зоны DNS ограничивают перенос зоны на серверы, перечисленные в записях ресурсов сервера имен (NS) в своих зонах.
- Высокий уровень безопасности. Все зоны DNS ограничивают перенос зоны на указанные IP-адреса.
Рекомендуемые действия
Чтобы настроить зону DNS на безопасный перенос зон, измените настройку переноса зон на вариант, позволяющий переносить зоны только на конкретные IP-адреса. Для этого выполните следующие действия:
- В диспетчере DNS щелкните правой кнопкой мыши имя зоны DNS и выберите Свойства.
- На вкладке «Перенос зоны» нажмите Разрешить перенос зоны.
- Выберите Только на серверы из этого списка.
- Нажмите Изменить, а затем в списке IP-адресов дополнительных серверов введите IP-адреса серверов, которые хотите указать.
- После ввода всех необходимых IP-адресов нажмите OK.
С тем же результатом также можно использовать инструмент командной строки �dnscmd�.
- Откройте командную строку с повышенными привилегиями.
- Введите в командной строке приведенную ниже команду и нажмите клавишу ВВОД:
dnscmd dnssvr1.contoso.com /zoneresetsecondaries test.contoso.com /securelist 11.0.0.2
Подробнее
Для получения дополнительной информации о том, как работает перенос зон, см. https://technet.microsoft.com/library/cc781340(WS.10).aspx.
Для получения дополнительной информации о том, как настроить перенос зоны, см. https://technet.microsoft.com/library/cc771652.aspx.
Обратная связь
Были ли сведения на этой странице полезными?
Перемещение зон DNS Windows на другой сервер Windows
В этой статье описывается, как переместить файлы зоны с одного DNS-сервера под управлением Windows 2000 на другой DNS-сервер под управлением Windows 2000.
Применимо к: Windows Server 2012 R2, Windows Server 2016
Исходный номер базы знаний: 280061
Перемещение файлов зоны
Чтобы переместить файлы зоны с одного сервера на другой, выполните следующие действия.
Чтобы использовать следующий метод, необходимо установить службу DNS-сервера Windows 2000 на новом сервере под управлением Windows 2000. Службу DNS-сервера пока не следует настраивать.
- На DNS-сервере, на котором в настоящее время размещены зоны DNS, измените все зоны, интегрированные с Active Directory, на стандартные первичные. Это действие создает файлы зоны, необходимые для целевого DNS-сервера.
- Остановите службу DNS-сервера на обоих DNS-серверах.
- Вручную скопируйте все содержимое (вложенные папки) папки %SystemRoot%\System32\DNS с исходного сервера на конечный сервер.
Важно! В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в соответствующей статье базы знаний Майкрософт:
322756 Создание резервной копии и восстановление реестра Windows
ipconfig /registerdns netdiag /fix Действия, описанные в этой статье, не переносятся следующие параметры DNS-сервера:
- Интерфейсы
- Пересылки
- Дополнительно
- Корневые подсказки
- Ведение журнала
- Безопасность
- Любой конкретный параметр реестра, созданный под любыми ключами, кроме ключа, указанного на шагах 5 и 7
Обратная связь
Были ли сведения на этой странице полезными?
Изменение списка DNS-серверов — делегирование доменов
Делегирование домена — это указание списка DNS-серверов для работы сайта и почты. На DNS-серверах размещается техническая информация о домене (файл зоны).
Возможности самостоятельно указать список для доменов мира (.cc, .io и др.) в личном кабинете нет. Для делегирования домена мира отправьте письмо на адрес mir@nic.ru.
Список DNS-серверов услуг RU-CENTER
Правила заполнения списка DNS-серверов
Должно быть указано не менее двух DNS-серверов.
Если вы указываете DNS-серверы, содержащие имя IDN-домена, то имя IDN-домена нужно вводить с префиксом «xn--», а не на национальном языке.
Приостановка, восстановление и сроки делегирования
В течение всего срока регистрации домена Администратор может приостановить делегирование из Раздела для клиентов → Мои домены. После приостановки делегирования сайт и почта становятся недоступны.
Для приостановки делегирования международных и зарубежных доменов необходимо сохранить пустой список DNS-серверов .
Восстановление делегирования после приостановки происходит в соответствии со сроками делегирования доменов. Сроки делегирования доменов:
- для доменов .ru, .рф и .su — от 2 до 24 часов;
- для доменов 3-го уровня — до 1 часа;
- международные и зарубежные домены делегируются за несколько минут.
Важно
Для DNS-серверов, имя которых содержит название делегируемого домена (дочерний DNS-сервер ) необходимо указывать IP-адрес .
Домен .pro поддерживает только IPv4.
Для делегирования доменов .org с дочерними DNS-серверами нужно указать различные IP-адреса .
Если в процессе регистрации домена для него не выбрана ни одна из услуг, включающая поддержку DNS , http-запрос к нему перенаправится на статусную (служебную) страницу для информирования о недоступности запрошенной страницы. Для домена, перенаправленного на статусную страницу можно приобрести услугу «Одностраничный сайт».
Windows DNS — перенос зоны с одного сервера на другой
Сегодня буду переносить зону с одного DNS сервера на другой. Старый DNS крутится на сервере Windows Server 2008, новый — на Windows Server 2016.
Будем считать, что на новом сервере мы уже установили DNS:
На старом сервере будем переносить зону прямого просмотра internet-lab.ru и зону обратного просмотра 246.39.46.in-addr.arpa.
Заходим на старом сервере в папку:
%SystemRoot%\System32\dns
Находим там файл internet-lab.ru.dns. Файл может отличаться от доменного имени, имя файла можно посмотреть в свойствах зоны. Копируем его.
Заходим на новом сервере в такую же папку:
%SystemRoot%\System32\dnsКопируем туда наш скопированный файл internet-lab.ru.dns.
Запускаем оснастку DNS на новом сервере.
Находим зоны прямого просмотра — Forward Lookup Zones. Нажимаем правой кнопкой мыши — New Zone. Запускается мастер создания зон.
Выбираем Primary zone. Next.
Указываем имя зоны. Обычно оно совпадает с названием домена. Ввожу internet-lab.ru. Next.
Дальше следует выбрать галку «User this existing file» — используем уже имеющийся файл зоны. Указываем имя файла, у меня это internet-lab.ru.dns. Next.
Оставляю «Do not allow dynamic updates». Next.
Зона успешно добавилась со всеми записями.
То же самое делаем для зоны обратного просмотра.
Переносим файл 246.39.46.in-addr.arpa.dns со старого сервера на новый.
Находим зоны обратного просмотра — Reverse Lookup Zones. Нажимаем правой кнопкой мыши — New Zone. Запускается мастер создания зон.
Выбираем Primary zone. Next.
Выбираем IPv4 Reverse Lookup Zone. У нас зона для IPv4. Next.
Либо вбиваем первые три части IP адреса.
Либо указываем Reverse lookup zone name. Я пишу 246.39.46.in-addr.arpa. Next.
Дальше следует выбрать галку «User this existing file» — используем уже имеющийся файл зоны. Указываем имя файла, у меня это 246.39.46.in-addr.arpa.dns. Next.
Оставляю «Do not allow dynamic updates». Next.
Зона обратного просмотра успешно перенеслась.
Этим способом удобно переносить одну-две зоны. Если зон много, то можно перенести сразу все файлы зон, а затем экспортировать параметры реестра с одного сервера на другой:
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Zones
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\DNS Server\Zones
Но это уже другая история.