По умолчанию служба DNS-сервера, которая работает на многосетевом компьютере, настроена на прослушивание DNS-запросов по всем своим IP-адресам. Можно повысить уровень безопасности DNS-сервера путем ограничения IP-адресов, прослушиваемых службой DNS-сервера, только одним IP-адресом, который используется DNS-клиентами в качестве предпочитаемого DNS-сервера.

Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы или наличие эквивалентных прав. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице http://go.microsoft.com/fwlink/?LinkId=83477.

Ограничение DNS-сервера на прослушивание только выбранных адресов

Чтобы ограничить DNS-сервер прослушиванием только выбранных адресов с помощью интерфейса WIndows

  1. Откройте диспетчер DNS.

  2. В дереве консоли щелкните необходимый DNS-сервер.

    Где?

    • DNS/необходимый DNS-сервер

  3. В меню Действие выберите команду Свойства.

  4. На вкладке Интерфейсы выберите переключатель только по указанным IP-адресам.

  5. В поле IP-адрес введите IP-адрес, который следует разрешить для этого DNS-сервера, а затем нажмите кнопку Добавить.

  6. Если необходимо, повторите предыдущий шаг для указания других IP-адресов сервера, которые следует разрешить для этого DNS-сервера.

    Чтобы удалить IP-адрес из списка, щелкните его, затем нажмите кнопку Удалить.

Дополнительные сведения

  • Чтобы открыть диспетчер DNS, нажмите кнопку Пуск, выберите Администрирование, затем щелкнете DNS.

  • По умолчанию служба DNS-сервера прослушивает DNS-сообщения по всем настроенным IP-адресам сервера.

  • Добавленные здесь IP-адреса серверов должны управляться статически. При последующем изменении или удалении указанных здесь адресов из конфигурации TCP/IP на этом сервере обновите список соответствующим образом.

  • После обновления или изменения списка ограниченных интерфейсов необходимо остановить и повторно запустить DNS-сервер для применения нового списка.

  • Ограничение службы DNS-сервера на прослушивание только определенных IP-адресов является эффективной мерой по обеспечению безопасности, потому что только узлы в той же подсети или узлы, использующие маршрутизатор, соединяющий их с тем же сегментом, будут получать доступ к этому серверу.

Чтобы ограничить DNS-сервер прослушиванием только выбранных адресов с помощью командной строки

  1. Откройте окно командной строки.

  2. Введите следующую команду и нажмите клавишу ВВОД:

    dnscmd <ServerName> /ResetListenAddresses [<ListenAddress> ...]

Параметр Описание

dnscmd

Имя средства командной строки, предназначенного для управления DNS-серверами.

<Имя_сервера>

Обязательный компонент. DNS-имя узла, на котором содержится DNS-сервер. Также можно ввести IP-адрес DNS-сервера. Чтобы указать DNS-сервер на локальном компьютере, можно ввести точку (.).

/ResetListenAddresses

Обязательный компонент. Сброс IP-адресов интерфейсов, прослушиваемых DNS-сервером.

<прослушиваемый_адрес> ...

Один или несколько IP-адресов интерфейсов, которые должен прослушивать DNS-сервер. По умолчанию служба DNS-сервера прослушивает DNS-сообщения по всем настроенным IP-адресам сервера.

Чтобы просмотреть полный синтаксис этой команды, введите следующий текст в командной строке, а затем нажмите клавишу ВВОД:

dnscmd <ServerName> /ResetListenAddresses /help

Дополнительные сведения

  • Чтобы открыть окно командной строки с более высоким уровнем прав, нажмите кнопку Пуск, выберите Все программы, Стандартные, щелкните правой кнопкой мыши пункт Командная строка, а затем выберите пункт Выполнить от имени администратора.

  • Добавленные здесь IP-адреса серверов должны управляться статически. При последующем изменении или удалении указанных здесь адресов из конфигурации TCP/IP на этом сервере обновите список соответствующим образом.

  • После обновления или изменения списка ограниченных интерфейсов необходимо остановить и повторно запустить DNS-сервер для применения нового списка.

  • Ограничение службы DNS-сервера на прослушивание только определенных IP-адресов является эффективной мерой по обеспечению безопасности, потому что только узлы в той же подсети или узлы, использующие маршрутизатор, соединяющий их с тем же сегментом, будут получать доступ к этому серверу.

Дополнительные ссылки

  • Настройка многосетевых серверов
  • Обеспечение безопасности кэша сервера для предотвращения повреждения имен