Kategori arşivi: DNS

çoklu dns ip adresi değiştirme multiple dns ip change netsh

Eğer ortamınızdaki pek çok pc de elle ip girişi yapılmış ise bu durumda bu bilgisayarlardaki dns ip adreslerini değiştirmek için uygun bir bat dosyası yazabilir ve bunu gpo üzerinden veya elinizde sccm gibi bir ürün var ise bunun üzerinden dağıtarak dns ip adreslerini değiştirmeniz mümkündür.

Ben birden çok dns gireceğim için öncelikle komut içerisinde eski dns leri sildiriyorum, yine çok etherneti olan sunucular için birden çok isim yazarak sorun çıkmasını engelleiyorum. ( öreğin local area connection değilde iki etherneti var ise ikinci ethernet local area connection 2 isminde olması komutun çalışmasını engeller )

netsh interface ip delete dns “Local Area Connection” 1.1.1.1
netsh interface ip delete dns “Local Area Connection” 1.1.1.2
netsh interface ip delete dns “Local Area Connection” 1.1.1.3
netsh interface ip delete dns “Local Area Connection” 1.1.1.4

netsh interface ip delete dns “Local Area Connection 2” 1.1.1.1
netsh interface ip delete dns “Local Area Connection 2” 1.1.1.2
netsh interface ip delete dns “Local Area Connection 2” 1.1.1.3
netsh interface ip delete dns “Local Area Connection 2” 1.1.1.4

netsh interface ip delete dns “Local Area Connection 3” 1.1.1.1
netsh interface ip delete dns “Local Area Connection 3” 1.1.1.2
netsh interface ip delete dns “Local Area Connection 3” 1.1.1.3
netsh interface ip delete dns “Local Area Connection 3” 1.1.1.4

netsh interface ip delete dns “Local Area Connection 4” 1.1.1.1
netsh interface ip delete dns “Local Area Connection 4” 1.1.1.2
netsh interface ip delete dns “Local Area Connection 4” 1.1.1.3
netsh interface ip delete dns “Local Area Connection 4” 1.1.1.4

netsh interface ip set dns “local area connection” static 2.2.2.5
netsh interface ip add dns “Local Area Connection” 2.2.2.6
netsh interface ip add dns “Local Area Connection” 2.2.2.7

netsh interface ip set dns “local area connection 2” static 2.2.2.5
netsh interface ip add dns “Local Area Connection 2” 2.2.2.6
netsh interface ip add dns “Local Area Connection 2” 2.2.2.7
netsh interface ip set dns “local area connection 3” static 2.2.2.5
netsh interface ip add dns “Local Area Connection 3” 2.2.2.6
netsh interface ip add dns “Local Area Connection 3” 2.2.2.7
netsh interface ip set dns “local area connection 4” static 2.2.2.5
netsh interface ip add dns “Local Area Connection 4” 2.2.2.6
netsh interface ip add dns “Local Area Connection 4” 2.2.2.7
Windows vista, windows 7 ve 2008 sistemler için ise komut küçük bir farklılık göstermektedir. Tek fark aşağıdaki gibi tek satır kod ile açıklanabilir.

netsh interface ipv4 set dnsserver “Local Area Connection” static 10.1.1.106
netsh interface ipv4 add dnsserver “Local Area Connection” 10.1.1.107

ip yerine ipv4 ve dns yerine dnsserver yazıyoruz hepsi bu.

Komut ile TCP IP DNS Adresi Değiştirme Çoklu DNS Girişi

Bazı durumlarda komut ile çoklu DNS adresi atamak gerekebilir. Bu noktada yine Netsh komutu imdadımıza yetişiyor. Aşağıdaki kodu bir BAT dosyası yapıp çalıştırın.

netsh interface ip add dns "Local" 10.0.0.1
netsh interface ip add dns "Local" 10.0.0.2 index=2

Gördüğün gibi sihirli kelime index=2 .Aşağıdaki gibi devam edebiliriz.

netsh interface ip add dns "Local" 10.0.0.1
netsh interface ip add dns "Local" 10.0.0.2 index=2
netsh interface ip add dns "Local" 10.0.0.3 index=3
netsh interface ip add dns "Local" 10.0.0.4 index=4

“Local” ise DNS atayacağımız ağ bağlantısı ismi. GPO ile domain’e de uygulayabiliriz.

Kaynak = Serhat AKINCI

DNS Zone Delegation – DNS Zone Delegasyonları – DNS Zone Yetkilendirme

DNS üzerinde zone delegation denilen bir özellik bulunmaktadır. Bunun temel sebebi child zone lar için sorumlu ns ler tanımlamaktır.

Bunun için öncelikle bu child zone dan sorumlu olan bir name server olmalı , örneğin sahip olduğun child zone  makale olsun ;

cozumpark.com – root

makale.cozumpark.com – ise child.

ve biz root üzerindeki dns te makale isminde bir delegasyon yapıyorsuz ve bunu delege ederken zaten sizana hangi ns bundan sorumlu olacak diyorsun . Bu durumda root a  hakan.makale.cozumpark.com gibi bu zone ile ilgili bir bilgi geldiğinde root bunu direk makale den sorumlu ns e iletecektir ve bu ns i hangi admin yönetiyor ise sorumluluk ona ait olacaktır.

Best Practice for Name Server

Name Server barındıran pek çok şirkette aynı hatayı gördüğüm için böyle bir yazı yazma ihtiyacı duydum . Eğer birden çok ns kullanacaksanız en azından bu ns lerden biri yurt dışında olsun . Bu sayede atak vb durumlarda yurt dışındaki dns ayakta olacak ve TTL değerlerini düşürerek yeni ip adresine yönlendirme işini hızlı bir şekilde yapabilirsiniz.

DNS için Uzantı Mekanizmalarını Kullanma (EDNS0)

DNS için Uzantı Mekanizmalarını Kullanma (EDNS0)

DNS için Uzantı Mekanizmaları (RFC 2671’de tanımlandığı gibi EDNS0), DNS isteyicilerinin UDP paketlerinin boyutunu bildirmelerine olanak verir ve UDP paket boyutu için özgün DNS kısıtlaması (RFC 1035) olan 512 sekizliden daha büyük paketlerin aktarılmasını kolaylaştırır. DNS sunucusu UDP Aktarım Katmanı üzerinden bir istek aldığında, OPT kaynak kaydından (RR) isteyicinin UDP paket boyutunu belirler ve yanıtını, isteyicinin belirlediği en büyük UDP paket boyutunda izin verilen en çok kaynak kaydını içerecek şekilde ölçeklendirir. Kaynak kayıtları hakkında daha fazla bilgi için Okumaya devam et

Global Query Block List ve Kullanımı

Bu özellik bir güvenlik güncelleştirmesi ile birlikte önceki DNS sunucu sürümlerine de yüklenebilmektedir: KB968732

  • Buradaki amaç kötü niyetli kişilerin bazı özel isimleri DNS’e kaydetmesini engellemektir. Etki alanında yetkili her kullanıcı kullandığı sisteme istediği ismi verebilir, tabii ki aksini söyleyen bir şirket politikası yoksa. Bu durumda örneğin bir kullanıcı sistemine WPAD adını verebilir. WPAD (Web Proxy Auto-discovery Protocol) yani Web Proxy Otomatik Bulma Protokolü Internet Explorer tarafından kullanılan ve bir Web Proxy sunucusu bulmaya yarayan protokoldür. Eğer siz WPAD isminde bir sistemi DNS’e kaydederseniz, tüm IE kullanıcılarını o sistem üzerinden Internet’e çıkmaya zorlayabilirsiniz. Bunu engellemek için yöneticiler genelde WPAD isminde herhangi bir IP’yi adreslemeyen kayıt oluştururlar. Aynı durum ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) için de geçerlidir. IPv6 istemciler WPAD yöntemine benzer şekilde ISATAP sunucuları ararlar.
  • Basitçe bu yeni özellik GlobalQueryBlockList adında bir listenin oluşturulması ve varsayılan olarak, eğer etki alanında kayıtlı değilse, WPAD ile ISATAP isimlerinin buraya eklenmesidir. Bu listeye tabii ki çözümlenmesi istenmeyen diğer isimler de eklenebilir. İsminden de anlaşılacağı gibi Global bir listedir ve o DNS sunucusu üzerinde yüklenen tüm zone’lar için geçerlidir. GlobalNames örneğinde olduğu gibi bu sefer de tüm kullanıcıların WEBO ismindeki sisteme erişmesini engellemek isterseniz, ismi bu listeye ekleyip DNS servisini yeniden başlatmanız yeterlidir.

Nasıl kullanıyoruzderseniz aşağıdaki komut setleri yardımı ile kullanabiliriz

Görüntüleme

dnscmd <ServerName> /info /enableglobalqueryblocklist

Açma – Kapama

dnscmd [<ServerName>] /config /enableglobalqueryblocklist 0|1

Kayıt Ekleme

dnscmd [<ServerName>] /config /globalqueryblocklist [<name> [<name>]…]

Dns Properties Forwarders Disable recursion BIND secondaries Fail on load if bad zone data Enable round robin Root Hints Secure cache against pollution Enable netmask ordering

İnterface: Burada ALL IP ADRESS kısmını ,eğer dns server iki veya daha fazla ip adresine sahipse gelen dns sorgularının hepsnin bu dns server tarafından yanıtlanmasını istiyorsak kullanırız.ONLY FOLLOWING IP ADRESS kısmını işaretlersek sadece belirlenen ip adresine gelen sorguların yanıtlanmasını sağlarız.

Forwarders: Enable forwarders sekmesini işaretlersek dns sorgularının yanıtlanması için başka Dns server var ise sistemde buna başvurulması sağlanır..En alttaki Do not recusion sekmesi işaretlenirse bulunamayan sorguların root hints’e sorulması engellenir.

Okumaya devam et