Windows Server 2016的网络功能虽然没有获得像Docker容器和Nano Server同等重要的关注,但是管理员们应该了解的是,新的域名系统(Domain Name System,DNS)服务器和IP地址管理功能可以帮助他们获得更多的网络环境控制权。
有关DNS最重要的一项改进是发布了DNS政策。该政策允许管理员控制Windows DNS服务器将如何响应DNS查询。DNS政策有无数种用途,包括能够重定向或阻止来自恶意IP地址的DNS查询。
DNS政策也有利于负载平衡。直到Window Server 2016,微软DNS服务器对本地负载平衡类型只支持round-robin load balance,即轮询方式。例如,如果三个web服务器提供某一个特定的服务,然后管理员可以使用DNS轮询负载平衡将流量均匀地分布在多个服务器。但是这种方法缺少智能的平衡机制。DNS无法知道一个主机是否可以处理更多或更少的流量,也无法知道主机的健康状况。
DNS政策的另外两个用途是将流量分布到最近的数据中心或执行重定向。
IPAM控制台获得DNS支持
IP地址管理(IPAM)是Windows Server已经存在多年的一个功能。大型的组织使用IPAM管理那些在运行IP地址基础设施上发挥了关键作用的服务器。直到Windows Server 2016发布,IPAM控制台都没有获得DNS支持。Windows Server 2012 IPAM控制台在与DHCP服务器进行交互方面提供了丰富的支持,但仅有几个选项支持与DNS进行交互。仅有的这些可用选项可以用来启动启动微软管理控制台或检索服务器数据。
微软为Windows Server 2016 IPAM控制台添加了更多的DNS相关功能,包括创建、修改和删除资源记录。微软还添加了一个过滤选项,从而让管理员在DNS-zone级别检查资源记录和IP地址。这个过滤选项基于DNS主机记录库存中的IP地址目录,不管是手动或自动添加的。IPAM从运行Windows server 2008或更高版本的Windows DNS服务器上收集DNS区域和资源记录信息
。
调节DNS响应速率有助于避免DoS攻击
Windows Server 2016还提供了一种调节DNS响应速率的方法,以防止针对Windows DNS服务器的拒绝服务(DoS)攻击。 该功能限制了DNS服务器每秒向客户端发出响应(或错误)的次数。
微软配置了响应速率限制功能,因此不会影响合法请求。管理员可以根据域或子网定义白名单,以免智能DNS请求限制。 组织可能将其内部子网置于白名单上,同时对外部客户端施加速率限制以限制DOS攻击的影响。