DNS代理功能详解【其一】——DNS代理策略的生效条件

很多同事在使用AD的DNS代理功能存在用不明白的情况，常常抱怨这个功能难用、有BUG。其实很多时候是配置出现了问题，错误的配置造成使用错误的DNS服务器进行解析，白白拖慢了网络速度。现在就给在这里说明一下DNS代理是怎么生效的。

在开启DNS代理功能后AD设备收到数据包，是否匹配并进入到DNS重定向模块进行代理根据策略的配置存在相应的判断条件，匹配不上条件的DNS请求数据包走正常的路由发出。

1·DNS代理源范围配置

代理内网网段即代理策略的源地址，当代理网段可以配置为全部网段时是否代理由代理目标范围决定；当代理网段为指定网段时，只有指定的源地址的才会被代理匹配。范围外的源地址不会被代理。

因为DNS监听的地址不一定要配置在接口上，所以造成一些公网发来的流量会被DNS代理功能代理，所以此处的代理源地址尽量配置且配置为内网全部网段

2·DNS代理目标范围配置

代理的目标范围有三种的匹配方式分别是:

①  目标范围为“全部DNS请求”

任何目的地址的DNS请求都会被DNS重定向模块抓取进行DNS代理查询，需要慎用，因为优先级比智能DNS高从而导致入站智能DNS失效；所以一般情况下不要使用全部DNS请求的配置。

②   目标范围为“DNS服务器列表”

请求的DNS服务器在DNS列表内，则匹配；若不在列表，但是是监听地址(有填监听地址，监听地址不一定要配置在接口上)，则匹配；最后不在列表，不是监听地址(没填监听地址)，是在代理内网网段(有填写)，是不匹配的（即只有内网的DNS服务器在列表or监听地址，才会做DNS代理）。

此项为最常用的配置，常用于内网没有DNS服务器的场景。用户将内网的用户DNS指向AD的监听地址用AD作为内网的DNS服务器。

③   目标范围为“指定域名”

此时需要有优先代理策略或内网DNS记录，在优先代理策略中的目标域名会被匹配进入DNS功能模块。其他的域名不会进入DNS代理功能模块。

适用于要针对部分特殊域名指定DNS服务器的场景，高校出口的教育网域名指定教育网DNS解析等情况

3·代理生效范围一览表

上述一、二两点准确的罗列了DNS代理的生效范围，总结起来DNS代理的生效范围可以用这个表格表示：

源地址在【代理内网网段】内	代理目标范围	客户端配置DNS地址	DNS请求域名在【优先代理策略】、【内网DNS记录】内	是否被代理
是	全部DNS请求	监听地址	是	是
是	全部DNS请求	监听地址	否	是
是	全部DNS请求	DNS服务列表地址	是	是
是	全部DNS请求	DNS服务列表地址	否	是
是	全部DNS请求	任意其他地址	是	是
是	全部DNS请求	任意其他地址	否	是
是	DNS服务器列表	监听地址	是	是
是	DNS服务器列表	监听地址	否	是
是	DNS服务器列表	DNS服务列表地址	是	是
是	DNS服务器列表	DNS服务列表地址	否	是
是	DNS服务器列表	任意其他地址	是	否
是	DNS服务器列表	任意其他地址	否	否
是	指定域名	监听地址	是	是
是	指定域名	监听地址	否	否
是	指定域名	DNS服务列表地址	是	是
是	指定域名	DNS服务列表地址	否	否
是	指定域名	任意其他地址	是	是
是	指定域名	任意其他地址	否	否
否	全部DNS请求	监听地址	是	否
否	全部DNS请求	监听地址	否	否
否	全部DNS请求	DNS服务列表地址	是	否
否	全部DNS请求	DNS服务列表地址	否	否
否	全部DNS请求	任意其他地址	是	否
否	全部DNS请求	任意其他地址	否	否
否	DNS服务器列表	监听地址	是	否
否	DNS服务器列表	监听地址	否	否
否	DNS服务器列表	DNS服务列表地址	是	否
否	DNS服务器列表	DNS服务列表地址	否	否
否	DNS服务器列表	任意其他地址	是	否
否	DNS服务器列表	任意其他地址	否	否
否	指定域名	监听地址	是	否
否	指定域名	监听地址	否	否
否	指定域名	DNS服务列表地址	是	否
否	指定域名	DNS服务列表地址	否	否
否	指定域名	任意其他地址	是	否
否	指定域名	任意其他地址	否	否

很厉害。。

谢谢分享

牛逼，起码是专家级别

打卡学习