(02.04.2024)
Validiert mit Windows Server 2016 und 2019
Ab Windows 2016 gibt es die Möglichkeit, DNS-Policies einzurichten. Rekursionsbezogene Einstellungen sind allerdings nur unzureichend dokumentiert. Diese sind jedoch besonders interessant, weil sich damit DNS-Tunnel effektiv verhindern lassen. Die Beantwortung von Anfragen aus dem Cache ist dabei irrelevant, weil DNS-Tunnel ständig neue hosts abfragen und dadurch Einträge im Cache sowieso nicht verwendet werden. Der Vorteil von DNS-Richtlinien ist, daß gegenüber der Realisierung mittels reiner Forwarder die DNS-Infrastruktur nicht doppelt vorhanden sein muß (Server mit bedingten Weiterleitungen für eingeschränkte Rekursion und zusätzlich DNS-Server für uneingeschränkte Rekursion).
In beiden getesteten Versionen wurden manchmal Anfragen falsch beantwortet. Die Thematik wurde nicht weiter untersucht, da die Probleme nur sporadisch auftraten. Zu einem Fall hat Microsoft einen Artikel veröffentlicht:
Zusammenhänge:
- RecursionScopes sind Listen von Forwardern für die Rekursion. Eingestellt werden die Zielserver und, ob überhaupt eine Rekursion stattfinden soll.
- QueryResolutionPolicies sind Auflösungsrichtlinien für DNS-Anfragen. Die MS-Dokumentation behandelt diese hinreichend mit Fokus auf Split-Brain-Szenarien
- mittels Client-Subnetzen können adressspezifische Einstellungen gesetzt werden.
Die Architektur wird nach folgenden Prinzipien aufgebaut:
- die DNS-Policies implementientierenden Server (DNS-POL) befinden sich in eiinem abgetrennten Netzsegment und sind separat verwaltet
- Zugriff auf diese Server wird an der Firewall den DNS-Servern im LAN (DNS-LAN) gewährt und Hosts, deren DNS-Anfragen unbeschränkt rekursiv aufgelöst werden müssen, z.b. Proxyserver. Solche Hosts sollten separat verwaltet sein (andere Sicherheitsdomäne) und sich in einem abgegrenzten Netzsegment befinden. Der Zugriff auf Verwaltungsschnittstellen sollte nicht aus dem normalen Netz möglich sein.
- Unbeschränkte Hosts sollten als ClientSubnet angelegt werden
- Zur Sicherstellung der Auflösbarkeit der internen Nutzerdomäne empfiehlt es sich, deren DNS-Server als RecursionScope anzulegen und für diese eine Rekursionsregel einzurichten