#干货满满#AD设备DNS代理原理、流程及排错思路指导
  

Hacking 41835人觉得有帮助

{{ttag.title}}
一、DNS的原理

1.DNS的概念
DNS 是域名系统 (Domain Name System) 的缩写,该系统用于命名组织到域层次结构中的计算机和网络服务。DNS 命名用于 Internet TCP/IP 网络中,通过用户友好的名称查找计算机和服务。当用户在应用程序中输入 DNS 名称时,DNS 服务可以将此名称解析为与之相关的其他信息,如 IP 地址。因为,你在上网时输入的网址,是通过域名解析系解析找到相对应的IP地址,这样才能上网。其实,域名的最终指向是IP

2.DNS的请求过程

二、DNS代理的作用

内网终端用户上网时,LDNS填写ADLANIPAD DNS服务器列表里的服务器IPAD可以代理用户选择DNS服务器解析域名。

三、DNS代理原理及流程图

1DNS重定向模块:将内网的DNS请求重定向到本地的DNS服务器,实现DNS透明代理。
2DNS服务器模块:负责DNS请求的解析及应答内网DNS记录;
3DNS代理模块:将非内网DNS记录的请求代理到某个LDNS上,先判断是否启用DNS前置策略,匹配前置策略后选择在线LDNS;如果不匹配前置策略,需要再判断是否存在域名智能路由,请求匹配域名智能路由的域名时,选择该域名智能路由的链路绑定的在线LDNS,否则按照DNS透明代理选择策略选择在线LDNS
4会话保持模块:维持内网用户与LDNS的会话信息,在会话保持时间范围内,内网用户再次访问时将选择会话保持的LDNS,注意:会话保持和DNS代理前置策略同时存在时,DNS代理前置策略优先;
5DNS前置调度模块:优先将符合规则的DNS请求根据策略进行调度,依赖于LDNS的状态信息;
6LDNS调度算法模块:保证DNS代理的多个DNS服务器的负载均衡,其依赖于LDNS的状态信息;
7LDNS状态信息模块:记录LDNS集合中各个LDNS的状态,如健康状态、访问次数、关联链路流量等;
8DNS监视器模块:监视配置的DNS服务器的健康状态。

四、DNS代理生效条件
客户端的DNS请求是否可以匹配上ADDNS代理,主要分为如上三种:
1.代理目标范围选择“指定服务器”:客户端PC填写的LDNS DNS必须为DNS服务器列表或者监听地址中的任何一个才会生效,否则DNS数据即使经过AD也不会匹配代理模块;
2.代理目标范围选择“全部的DNS请求”:不管客户端PC填写的LDNS DNS,只要是经过ADDNS请求数据都会转到代理模块处理,需要慎用,优先级比智能DNS高从而导致入站智能DNS失效;
3.代理目标范围选择“指定的域名”:需要DNS请求的域名符合指定的域名才会被代理模块处理。

五、DNS代理排错思路
举例:客户端使用ADDNS代理无法解析出www.abc.comIP
如何排查
1、检查设备DNS代理目标网段的选择, 参考上面DNS代理生效条件,例如为指定的服务器:查看客户端的LDNS,是否填的ADDNS代理监听DNS(一般是LAN口地址)或者ADDNS代理服务器列表里的IP
2、检查DNS服务器列表里的服务器状态,是否可以正常进行域名解析,监视的域名是否状态正常。
3、换一个客户端进行解析,因为同一客户端IP的请求会被会话保持。或者后台清空DNS代理会话保持后再试,命令:dproxy_cmd flush_ldns_ps另外查看DNS会话保持可以用:dproxy_cmd dump_ldns_ps
4、检查前置调度,看看是否配置了前置调度,调度到了错误的DNS服务器进行代理解析。
5、使用命令:netstat -npl | grep 5353,检查ad_dns_proxy是否正常监听。
6、检查我们设备出去进行代理请求的IP是否在DNS服务器允许的IP范围内,可以抓包看是否有refuse的包。

打赏鼓励作者,期待更多好文!

打赏
32人已打赏

cyq 发表于 2023-3-6 22:52
  
楼主分享的案例很实用,具有典型性,希望有更多这样的干货供我们学习参考,非常感谢!
新手719320 发表于 2023-3-9 14:57
  
楼主分享的案例很实用,具有典型性,希望有更多这样的干货供我们学习参考,非常感谢!
临兵斗者 发表于 2023-3-13 11:48
  
感谢分享,又复习一遍。
15082161216 发表于 2023-3-13 15:14
  

感谢分享经验,学习一下
dhf 发表于 2023-3-13 16:56
  
每日打卡学习,感谢分享,学习了!!!
小鱼儿 发表于 2023-3-17 18:40
  
感谢楼主分享,每日学习打卡
小霞米 发表于 2023-3-17 18:40
  
感谢楼主分享,每日学习打卡
朱墩2 发表于 2023-3-17 18:41
  
感谢楼主分享,每日学习打卡
唐三平 发表于 2023-3-17 18:41
  
感谢楼主分享,每日学习打卡
发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
干货满满
社区新周刊
每日一问
新版本体验
技术盲盒
技术咨询
产品连连看
纪元平台
标准化排查
GIF动图学习
功能体验
社区帮助指南
信服课堂视频
安装部署配置
解决方案
SDP百科
自助服务平台操作指引
玩转零信任
S豆商城资讯
秒懂零信任
每周精选
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人

新手61940...

本周建议达人

zhao_HN

本周分享达人

ZSFKF

本周提问达人