遠離DoS攻擊 Windows Server 2016發佈DNS政策

Windows Server 2016的網絡功能雖然沒有得到像Docker容器和Nano Server同等重要的關注，可是管理員們應該瞭解的是，新的域名系統(Domain Name System，DNS)服務器和IP地址管理功能能夠幫助他們得到更多的網絡環境控制權。

　　有關DNS最重要的一項改進是發佈了DNS政策。該政策容許管理員控制Windows DNS服務器將如何響應DNS查詢。DNS政策有無數種用途，包括可以重定向或阻止來自惡意IP地址的DNS查詢。

　　DNS政策也有利於負載平衡。直到Window Server 2016，微軟DNS服務器對本地負載平衡類型只支持round-robin load balance，即輪詢方式。例如，若是三個web服務器提供某一個特定的服務，而後管理員能夠使用DNS輪詢負載平衡將流量均勻地分佈在多個服務器。可是這種方法缺乏智能的平衡機制。DNS沒法知道一個主機是否能夠處理更多或更少的流量，也沒法知道主機的健康情況。

　　DNS政策的另外兩個用途是將流量分佈到最近的數據中心或執行重定向。

　　IPAM控制檯得到DNS支持

　　IP地址管理(IPAM)是Windows Server已經存在多年的一個功能。大型的組織使用IPAM管理那些在運行IP地址基礎設施上發揮了關鍵做用的服務器。直到Windows Server 2016發佈，IPAM控制檯都沒有得到DNS支持。Windows Server 2012 IPAM控制檯在與DHCP服務器進行交互方面提供了豐富的支持，但僅有幾個選項支持與DNS進行交互。僅有的這些可用選項能夠用來啓動啓動微軟管理控制檯或檢索服務器數據。

　　微軟爲Windows Server 2016 IPAM控制檯添加了更多的DNS相關功能，包括建立、修改和刪除資源記錄。微軟還添加了一個過濾選項，從而讓管理員在DNS-zone級別檢查資源記錄和IP地址。這個過濾選項基於DNS主機記錄庫存中的IP地址目錄，無論是手動或自動添加的。IPAM從運行Windows server 2008或更高版本的Windows DNS服務器上收集DNS區域和資源記錄信息
。
　　調節DNS響應速率有助於避免DoS攻擊

　　Windows Server 2016還提供了一種調節DNS響應速率的方法，以防止針對Windows DNS服務器的拒絕服務(DoS)攻擊。 該功能限制了DNS服務器每秒向客戶端發出響應(或錯誤)的次數。

　　微軟配置了響應速率限制功能，所以不會影響合法請求。管理員能夠根據域或子網定義白名單，以避免智能DNS請求限制。 組織可能將其內部子網置於白名單上，同時對外部客戶端施加速率限制以限制DOS攻擊的影響。