По умолчанию служба DNS-сервера, которая работает на многосетевом компьютере, настроена на прослушивание DNS-запросов по всем своим IP-адресам. Можно повысить уровень безопасности DNS-сервера путем ограничения IP-адресов, прослушиваемых службой DNS-сервера, только одним IP-адресом, который используется DNS-клиентами в качестве предпочитаемого DNS-сервера.
Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы или наличие эквивалентных прав. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице
Ограничение DNS-сервера на прослушивание только выбранных адресов
Чтобы ограничить DNS-сервер прослушиванием только выбранных адресов с помощью интерфейса WIndows |
Откройте диспетчер DNS.
В дереве консоли щелкните необходимый DNS-сервер.
Где?
-
DNS/необходимый DNS-сервер
-
DNS/необходимый DNS-сервер
В меню Действие выберите команду Свойства.
На вкладке Интерфейсы выберите переключатель только по указанным IP-адресам.
В поле IP-адрес введите IP-адрес, который следует разрешить для этого DNS-сервера, а затем нажмите кнопку Добавить.
Если необходимо, повторите предыдущий шаг для указания других IP-адресов сервера, которые следует разрешить для этого DNS-сервера.
Чтобы удалить IP-адрес из списка, щелкните его, затем нажмите кнопку Удалить.
Дополнительные сведения
-
Чтобы открыть диспетчер DNS, нажмите кнопку Пуск, выберите Администрирование, затем щелкнете DNS.
-
По умолчанию служба DNS-сервера прослушивает DNS-сообщения по всем настроенным IP-адресам сервера.
-
Добавленные здесь IP-адреса серверов должны управляться статически. При последующем изменении или удалении указанных здесь адресов из конфигурации TCP/IP на этом сервере обновите список соответствующим образом.
-
После обновления или изменения списка ограниченных интерфейсов необходимо остановить и повторно запустить DNS-сервер для применения нового списка.
-
Ограничение службы DNS-сервера на прослушивание только определенных IP-адресов является эффективной мерой по обеспечению безопасности, потому что только узлы в той же подсети или узлы, использующие маршрутизатор, соединяющий их с тем же сегментом, будут получать доступ к этому серверу.
Чтобы ограничить DNS-сервер прослушиванием только выбранных адресов с помощью командной строки |
Откройте окно командной строки.
Введите следующую команду и нажмите клавишу ВВОД:
dnscmd <ServerName> /ResetListenAddresses [<ListenAddress> ...]
Параметр | Описание |
---|---|
dnscmd |
Имя средства командной строки, предназначенного для управления DNS-серверами. |
<Имя_сервера> |
Обязательный компонент. DNS-имя узла, на котором содержится DNS-сервер. Также можно ввести IP-адрес DNS-сервера. Чтобы указать DNS-сервер на локальном компьютере, можно ввести точку (.). |
/ResetListenAddresses |
Обязательный компонент. Сброс IP-адресов интерфейсов, прослушиваемых DNS-сервером. |
<прослушиваемый_адрес> ... |
Один или несколько IP-адресов интерфейсов, которые должен прослушивать DNS-сервер. По умолчанию служба DNS-сервера прослушивает DNS-сообщения по всем настроенным IP-адресам сервера. |
Чтобы просмотреть полный синтаксис этой команды, введите следующий текст в командной строке, а затем нажмите клавишу ВВОД:
dnscmd <ServerName> /ResetListenAddresses /help
Дополнительные сведения
-
Чтобы открыть окно командной строки с более высоким уровнем прав, нажмите кнопку Пуск, выберите Все программы, Стандартные, щелкните правой кнопкой мыши пункт Командная строка, а затем выберите пункт Выполнить от имени администратора.
-
Добавленные здесь IP-адреса серверов должны управляться статически. При последующем изменении или удалении указанных здесь адресов из конфигурации TCP/IP на этом сервере обновите список соответствующим образом.
-
После обновления или изменения списка ограниченных интерфейсов необходимо остановить и повторно запустить DNS-сервер для применения нового списка.
-
Ограничение службы DNS-сервера на прослушивание только определенных IP-адресов является эффективной мерой по обеспечению безопасности, потому что только узлы в той же подсети или узлы, использующие маршрутизатор, соединяющий их с тем же сегментом, будут получать доступ к этому серверу.