参考:DNS 部署选项 - BlueCat Integrity - 9.5.0

管理指南
Locale
中文 (大陆)
Product name
BlueCat Integrity
Version
9.5.0

以下列出了可在 Address Manager 中配置的 DNS 部署选项。

有关添加 DNS 部署选项的信息,请参阅管理 DNS 部署选项
DNS 部署选项 描述 参数
允许动态更新 此选项将 ACL 或匹配列表作为参数。只允许列表中匹配的地址向该区域的服务器发送更新。

使用更新策略可以更好地控制更新权限。允许动态更新更新策略是互斥的,不能在 Address Manager 中的相同级别进行设置。

注: 必须使用主动和被动节点的物理 IP 地址(不是虚拟 IP 地址)配置 xHA 群集环境中的动态 DNS 更新。
 对于 DNS 服务器
  • IP 地址或名称 — 允许基于 IPv4 或 IPv6 块或单个 IP 地址进行更新。在添加对 ACL 的完全支持之前,名称提供对命名 ACL 的旧版支持。
  • 密钥 — 允许基于 TSIG 密钥进行更新。
  • ACL — 允许对已配置的 ACL 进行更新。
对于混合服务器
  • IP 地址或名称 — 允许基于 IPv4 或 IPv6 块或单个 IP 地址进行更新。在添加对 ACL 的完全支持之前,名称提供对命名 ACL 的旧版支持。
  • 密钥 — 允许基于 TSIG 密钥进行更新。
  • ACL — 允许对已配置的 ACL 进行更新。
注: 选择密钥ACL 时,将出现排除复选框。选中排除复选框可添加 DNS ACL 或 TSIG 密钥的排除项。
注: 比起使用 TSIG 密钥,允许基于 IP 地址的更新安全性低得多。
注: 如果选择密钥,则必须使用使用以相同密钥签名的区域声明配置 DHCP 服务器。
允许通知 限制允许将通知消息发送到从属区域的服务器。此选项接受 IPv4 和 IPv6 地址列表。
  • IP 地址或名称 — 允许基于 IPv4 或 IPv6 块或单个 IP 地址发送通知消息。在添加对 ACL 的完全支持之前,名称提供对命名 ACL 的旧版支持。
  • 密钥 — 允许基于 TSIG 密钥发送通知消息。
  • ACL — 允许基于配置的 ACL 发送通知消息。
注: 选择密钥ACL 时,将出现排除复选框。选中排除复选框可添加 DNS ACL 或 TSIG 密钥的排除项。
允许查询 BIND 9 服务器能够通过 ACL 限制可以访问特定视图的 IP 地址。允许列表中的地址查询该视图的记录。
  • IP 地址或名称 — 允许基于 IPv4 或 IPv6 块或单个 IP 地址进行查询。在添加对 ACL 的完全支持之前,名称提供对命名 ACL 的旧版支持。
  • 密钥 — 允许基于 TSIG 密钥进行查询。
  • ACL — 允许基于配置的 ACL 进行查询。
注: 选择密钥ACL 时,将出现排除复选框。选中排除复选框可添加 DNS ACL 或 TSIG 密钥的排除项。
允许查询缓存 提供允许查询视图缓存的主机列表。
  • IP 地址或名称 — 基于 IPv4 或 IPv6 块或单个 IP 地址查询视图的缓存。在添加对 ACL 的完全支持之前,名称提供对命名 ACL 的旧版支持。
  • 密钥 — 基于 TSIG 密钥查询视图的缓存。
  • ACL — 基于配置的 ACL 查询视图的缓存。
注: 选择密钥ACL 时,将出现排除复选框。选中排除复选框可添加 DNS ACL 或 TSIG 密钥的排除项。
允许递归 允许用户对服务器进行递归查询。可以执行递归查询的客户端列表与服务器相关联。有关更多信息,请参阅递归 DNS
  • IP 地址或名称 — 允许基于 IPv4 或 IPv6 块或单个 IP 地址执行递归查询。在添加对 ACL 的完全支持之前,名称提供对命名 ACL 的旧版支持。
  • 密钥 — 允许基于 TSIG 密钥执行递归查询。
  • ACL — 允许基于配置的 ACL 执行递归查询。
注: 选择密钥ACL 时,将出现排除复选框。选中排除复选框可添加 DNS ACL 或 TSIG 密钥的排除项。
允许更新转发 指定允许哪些主机向备用区域提交动态 DNS 更新以转发到主要服务器。默认值为,表示不执行更新转发。除非需要(如在活动目录中),否则指定任何以外的值都会适得其反,因为必须由主要服务器负责更新访问控制,而不是备用服务器。因为依赖于不安全备用服务器的基于 IP 地址的访问控制,在备用服务器上启用此功能可能会使主要服务器受到缓存中毒攻击。
  • IP 地址或名称 — 允许基于 IPv4 或 IPv6 块或单个 IP 地址执行更新转发。在添加对 ACL 的完全支持之前,名称提供对命名 ACL 的旧版支持。
  • 密钥 — 允许基于 TSIG 密钥执行更新转发。
  • ACL — 允许基于已配置的 ACL 执行更新转发。
注: 选择密钥ACL 时,将出现排除复选框。选中排除复选框可添加 DNS ACL 或 TSIG 密钥的排除项。
允许区域传输 防止区域传输到选项中指定的地址以外的 IP 地址。
  • IP 地址或名称 — 允许基于 IPv4 或 IPv6 块或单个 IP 地址进行区域传输。在添加对 ACL 的完全支持之前,名称提供对命名 ACL 的旧版支持。
  • 密钥 — 允许基于 TSIG 密钥的区域传输。
  • ACL — 允许基于已配置的 ACL 进行区域传输。
注: 选择密钥ACL 时,将出现排除复选框。选中排除复选框可添加 DNS ACL 或 TSIG 密钥的排除项。
DNS64 联系人 用于指定 DNS64 反向映射创建的反向区域的联系信息。 电子邮箱字段中,指定联系人的电子邮箱。
DNS64 服务器 用于指定正在创建合成的 IP6.ARPA 区域的服务器的名称。 FQDN 字段中,指定完全限定的域名。
拒绝客户端 定义 ACL 列表以匹配客户端。ACL 匹配列表可以在视图级别下进行定义,但在部署时是视图全局选项。拒绝与此客户端定义的 ACL 匹配的客户端访问 ACL 附属的视图的 DNS 解析。此选项应仅用于视图,而不应用于区域。
  • IP 地址或名称 — IPv4 或 IPv6 块或单个 IP 地址。在添加对 ACL 的完全支持之前,名称提供对命名 ACL 的旧版支持。
  • 密钥 — TSIG 密钥。
  • ACL — 配置的 ACL。
注: 选择密钥ACL 时,将出现排除复选框。选中排除复选框可添加 DNS ACL 或 TSIG 密钥的排除项。
DNSSEC 接受过期 启用后,服务器接受过期的 DNSSEC 签名。可以在配置、视图或服务器级别设置此选项。启用此选项会使服务器容易受到重放攻击。 已启用复选框。
DNSSEC 启用 使服务器能够响应来自能识别 DNSSEC 的服务器的 DNS 请求。可以在配置、视图或服务器级别设置此选项。 已启用复选框。
DNSSEC 必须安全 域列表以及是否必须签名才能使服务器接受答案。如果选中安全复选框,则必须对域进行签名;如果未选中,则不需要对域进行签名。可以在配置、视图或服务器级别设置此选项。 完全限定的域名列表。安全复选框表示区域是否必须安全。
DNSSEC 信任锚 提供受信任区域的公钥。可以在服务器级别设置此选项。 完全限定的域名列表及其密钥签名密钥。在 FQDN 字段中,输入完全限定的域名。在密钥字段中,粘贴区域的公钥。
DNSSEC 验证 使服务器能够验证来自其他启用 DNNSEC 的服务器的答案。可以在配置、视图或服务器级别设置此选项。 已启用复选框。还必须设置 DNSSEC 启用选项“DNSSEC 信任锚”,以便服务器正常运行。
正在转发 提供指定为转发器的服务器 IP 地址列表,还包括用于禁用子区域转发的选项。需要递归查询的异地查询将被发送到这些转发器,从而有效地管理网络流量。这些地址按优先顺序列出。

使用此选项可在服务器上启用递归。要阻止服务器执行递归,请在与“正在转发”选项相同的级别上添加转发策略部署选项。将转发策略部署选项设置为

 禁用子区域转发复选框。

IPv4 或 IPv6 地址列表。
转发策略 指示是仅将请求转发到具有优先级的缓存服务器(转发器),还是先转发请求到该处,如果缓存服务器未应答请求,则此服务器应答请求。 选择一个选项:第一
Lame TTL 指定服务器避免从已列为权威但未以权威方式响应的远程服务器请求数据的持续时间。 指定持续时间和时间单位。
匹配客户端 定义用于匹配客户端的 ACL 列表。匹配列表在视图级别下定义,但在部署时成为全局选项。允许与此客户端定义的 ACL 匹配的客户端访问 ACL 附属的视图的 DNS 解析。仅对视图使用此选项,而不是区域。
  • IP 地址或名称 — 基于 IPv4 或 IPv6 块或单个 IP 地址定义用于匹配客户端的 ACL 列表。在添加对 ACL 的完全支持之前,名称提供对命名 ACL 的旧版支持。
  • 密钥 — 基于 TSIG 密钥定义用于匹配客户端的 ACL 列表。
  • ACL — 基于配置的 ACL 定义用于匹配客户端的 ACL 列表。
注: 选择密钥ACL 时,将出现排除复选框。选中排除复选框可添加 DNS ACL 或 TSIG 密钥的排除项。
最大缓存 TTL 定义在缓存中保留对 DNS 查询的正响应的时间长度。默认值为七天。 指定持续时间和时间单位。
最大缓存大小 DNS 缓存的最大大小(以字节为单位),指定为无符号的 16 位整数值。 指定 0 到 4,294,967,295 之间的值。
入站传输的最大空闲时间 对于备用服务器,入站区域传输在超时之前保持空闲的最长时间(以分钟为单位)。 指定持续时间和时间单位。
出站传输的最大空闲时间 对于主要服务器,出站区域传输在超时之前保持空闲的最长时间(以分钟为单位)。 指定持续时间和时间单位。
最大负缓存 TTL 定义在缓存中保留对 DNS 查询的负响应的时间长度。默认值为三小时,最大值为七天。 指定持续时间和时间单位。
递归客户端的最大数量 限制同时递归客户端的最大数量,指定为无符号的 16 位整数。 指定 0 到 4,294,967,295 之间的值。
TCP 客户端的最大数量 限制服务器处理的并发 TCP 连接数。默认值为 100 个客户端。 指定 0 到 65,535 之间的值。
每个名称服务器的最大传输数 对于备用服务器,限制此服务器随时请求的任何单个远程名称服务器的入站区域传输总数。默认值为 10 次传输。 指定 0 到 65,535 之间的值。
入站传输的最大时间 单个入站区域传输连接到备用服务器所允许的最长时间(以分钟为单位)。此项使用无符号的 16 位整数值进行指定。 指定持续时间和时间单位。
出站传输的最长时间 单个出站区域传输连接到备用服务器所允许的最长时间(以分钟为单位)。此项使用无符号的 16 位整数值进行指定。 指定持续时间和时间单位。
通知 用于通知备用服务器对区域所做的更改。 选择以下单选按钮:
  • — 不通知
  • — 通知在 NS 记录中列出的名称服务器
  • 明确 — 通知在“通知其他服务器”部署选项中列出的名称服务器。
注: 如果选择 False,BDDS 会停止向 Address Manager 发送 DDNS 通知,但仍然能够成功发送 DHCP 通知。
通知其他服务器 主要 DNS 服务器通过向备用服务器通知更改,确保区域更改快速传播到备用服务器。使用此选项可添加应向其通知更改的服务器。由 Address Manager 管理的备用服务器不需要此选项,因为部署引擎会自动为托管该区域的备用服务器设置此通知。 IPv4 或 IPv6 地址列表。
通知源 从主要服务器向备用服务器发送区域更改通知时,DNS 服务器将使用此选项的值作为源 IPv4 地址。
注: 仅在视图、区域和 IPv4 块/网络级别可用。
 有效的 IPv4 地址。
通知源 v6 从主要服务器向备用服务器发送区域更改通知时,DNS 服务器将使用此选项的值作为源 IPv6 地址。
注: 仅在视图、区域和 IPv6 块/网络级别可用。
 有效的 IPv6 地址。
NXDOMAIN 重定向 当递归 DNS 服务器连接一个外部服务器,以尝试查找域名并响应 DNS 客户端查询时,如果客户端查询中的域名不存在,则该服务器返回的响应将显示值“名称错误”。使用 NXDOMAIN 重定向,递归服务器能够使用其自有的已配置答案(如另一个网站)来替代查询的 NXDOMAIN 响应。
  • 主机模式 — 定义主机域名模式。例如,如果要将无效的 DNS 客户端查询 www.exampel.com 重定向至 www.example.com,请输入值 www.exampel.com
  • 主机地址 — 指定要将用户定向到的主机地址。例如,假设 www.example.com 的 IPv4 地址为 10.10.10.1,请输入值 10.10.10.1 以将查询无效域名 www.exampel.com 的用户重定向至 www.example.com
    注: IPv4 和 IPv6 地址均受支持。
  • 主机 TTL(适用于所有主机) — NXDOMAIN 重定向服务的生存时间值。默认值为 10 分钟。
反向区域名称格式 允许用户为Address Manager自动创建的子类 C 无类网络选择反向区域名称格式。 格式下拉菜单中选择反向区域名称格式。Address Manager 支持以下格式:
  • [start-ip]-[net-mask].[net].in-addr.arpa
  • [start-ip]-[end-ip].[net].in-addr.arpa
  • [start-ip]/[net-mask].[net].in-addr.arpa
  • [start-ip]/[end-ip].[net].in-addr.arpa
  • 用户特定的自定义格式。这只能在网络级别上设置。
有关设置反向区域名称格式的更多信息,请参阅设置反向区域名称格式
响应策略 需要此选项才能为视图分配响应策略。用户定义的响应策略对象位于可用列中。选择响应策略对象并将其移动到已选列以使对象可部署。有关更多信息,请参阅关于响应策略 可用列中选择响应策略对象,然后将其移至已选列。默认情况下,响应策略按字母数字顺序排序,策略从上到下依次应用。在将允许列表与其他策略对象一起部署时,请确保将允许列表放在任何其他对象的前面。
RPZ 中断 DNSSEC 启用后,将对所有 DNSSEC 查询执行策略处理。如果禁用此选项,则响应策略区域不会处理请求 DNSSEC 数据的查询或在答案中具有 RR 的查询。此选项仅在视图和配置级别可用。 已启用复选框。
RPZ 最大策略 TTL 此选项用于指定响应在缓存中保留的时间长度。默认值为 5 秒。此选项仅在视图和配置级别可用。 指定 0 到 4,294,967,295 之间的值。
RPZ 最小 NS 点 此选项用于定义必须出现在任何 QNAME 中以调用策略处理的最小点分隔符数。此选项仅在视图和配置级别可用。 已启用复选框。
RPZ NSIP 等待递归 启用后,仅在查询结果可用时才会调用策略处理。禁用时,如果名称服务器查找的结果在缓存中,则将正常处理 NS-IP 触发器。但是,如果数据在缓存中不可用,则将绕过 NS-IP,但 NS 查找操作将继续,因此随后将进行缓存并调用正常的 NS-IP 策略触发器操作。默认情况下启用此操作,仅在视图和配置级别可用。 已启用复选框。
RPZ Qname 等待递归 启用后,仅在查询结果可用时才会调用策略处理。禁用时,将在收到查询时发生策略处理,而不等待响应。此行为仅适用于 QNAME 策略触发器。默认情况下启用此选项,仅在视图和配置级别可用。 已启用复选框。
RPZ 仅递归 启用后,仅在递归查询时调用策略处理。禁用时,将对服务器接收的每个查询调用策略处理。默认情况下启用此选项,仅在视图和配置级别可用。 已启用复选框。
备用区域通知 启用来自 BDDS 的通知,该 BDDS 充当符合 RFC 的非 BlueCat DNS 服务器的备用服务器。 选择要负责向 (BAM) 发送备用区域通知的服务器。
注: 只能在配置级别、视图级别和区域级别配置备用区域通知。在每个级别,仅允许一个备用区域通知部署选项。
传输格式 控制从主要服务器到备用服务器的区域传输格式是一个-答案(每个 DNS 消息中只包含一个资源记录)或许多-答案(携带尽可能多的资源记录)。默认设置为许多-答案 选择一个选项:许多-答案一个-答案
服务器对的 TSIG 密钥 此选项会覆盖为每个视图生成 TSIG 的默认行为。反而为每个服务器对生成唯一的 TSIG 密钥。例如,具有两个备用节点的主要节点将生成两个 TSIG 密钥,每个主要-备用关系分配一个密钥。
注: 使用此部署选项启用的所有相互通信的 DNS 服务器必须全部处于相同的软件级别。
 单击自动生成以创建加盐密钥。
传输源 通过 IPv4 向主要服务器发送区域传输请求时,备用 DNS 服务器将使用此选项的值作为源 IP 地址。
注: 仅在视图、区域和 IPv4 块/网络级别可用。
 有效的 IPv4 地址。
传输源 v6 通过 IPv6 向主要服务器发送区域传输请求时,备用 DNS 服务器将使用此选项的值作为源 IP 地址。
注: 仅在视图、区域和 IPv6 块/网络级别可用。
 有效的 IPv6 地址。
更新策略 允许符合详细条件的客户端更新服务器上的特定记录。与允许动态更新选项相比,此选项提供对更新的更多控制。允许动态更新更新策略是互斥的,不能在 Address Manager 中的相同级别进行设置。 指定权限、身份、名称类型、名称和资源记录参数。有关设置此选项的更多信息,请参阅更新策略 DNS 部署选项
使用 WINS 反向查找 将 Windows DNS 服务器反向区域中的 IP 地址解析为 NetBIOS 名称。 指定以下参数:
  • FQDN — 输入要附加到 WINS 服务器返回的计算机名称中的域名。
  • 缓存超时 — 键入要应用于记录的缓存超时值。缓存超时值指示 DNS 服务器应缓存 WINS 查找中返回的任何信息的时间。默认设置为 15 分钟。
  • 查询超时 — 输入要应用于记录的查找超时值。“查询超时”值指定 DNS 服务器在超时前和 DNS 服务器服务执行的 WINS 查找到期之前应等待的时间。默认设置为 2 秒。
版本信息 自定义文本字符串,可在查询服务器版本时提供版本响应。这可以防止在黑客攻击事件之前发生的分析。 文本字符串。
区域默认 TTL 区域的默认生存时间值。 指定持续时间和时间单位。
区域传输入站 限制本地名称服务器一次请求的所有远程服务器的入站区域传输总数。默认设置为 10 次传输。增加此设置可能会加快备用区域的聚合速度,但也可能会增加本地系统的负载。 指定 0 到 65,535 之间的值。
区域传输出站 同时出站区域传输的最大数量。此项使用无符号的 16 位整数进行指定。默认值为 10。 指定 0 到 65,535 之间的值。