【第2季第2篇】Windows Server 2022 DNS：DNS Policy 流量调度、Response Rate Limiting 与安全加固

系列：爱依航 · Windows Server 2022 运维系列

本篇主题：DNS 服务器部署与高级功能（WS2022 新版）

环境：域名 iehang.cn / IP 192.168.10.10

开篇：WS 2022 DNS 的真正升级

WS 2022 DNS 不只是修补漏洞，它引入了几个真正影响生产的功能：

• DNS Policy：按客户端 IP、查询时间、地理位置做流量调度
• Response Rate Limiting（DNS RRL）：自动防止 DNS 放大攻击
• DNS Analytics 集成：DNS 查询日志直接进 Azure Monitor（混合场景）

对于中小企业来说，DNS Policy 是最实用的——可以按部门走不同的解析路径，可以给访客网单独限制，可以做简单的内网流量调度。

Part 1 · DNS 部署（WS 2022）

安装与基础配置

# 安装 DNS 服务器角色
Install-WindowsFeature -Name DNS -IncludeManagementTools

# 在 AD DS 中配置转发器（建议优先内网，再走公共 DNS）
Add-DnsServerForwarder -IPAddress 192.168.10.1 -Timeout 3
Add-DnsServerForwarder -IPAddress 8.8.8.8 -Timeout 5

# 验证 DNS 服务状态
Get-Service DNS | Select Name,Status

WS 2022 DNS 与 WS 2019 的配置差异

WS 2022 DNS 默认在安装后自动启用以下安全选项（无需手动配置）：

# 验证 DNS RRL 是否启用（WS 2022 新增，默认关闭）
Get-DnsServerResponseRateLimiting

# 验证 DNSSEC 验证（如果你的域配置了 DNSSEC）
Get-DnsServerDnsSecZoneSetting -ZoneName iehang.cn

Part 2 · DNS Policy 实战：按部门分流

场景：IT 部走内网 DNS，普通员工走过滤 DNS

# 第一步：创建查询名称截取列表（Scope）
Add-DnsServerQueryResolutionPolicy -ZoneName "iehang.cn" -Name "IT-Network" `
  -Action ALLOW `
  -ClientSubnet "EQ,IT-Subnet" `
  -TransportProtocol NEQ UDP `
  -PassThru

# 第二步：创建自定义解析 Scope（这里演示分流场景）
# 假设 IT 网段 192.168.10.0/24，访客 192.168.20.0/24

# 为访客创建单独的 DNS 解析策略（限制某些内部域的递归查询）
Add-DnsServerZoneScope -ZoneName "iehang.cn" -Name "GuestScope"

# 配置访客 Scope 的转发规则（不允许解析内部特定记录）
Add-DnsServerQueryResolutionPolicy -ZoneName "iehang.cn" `
  -Name "Block-Guest-Sensitive" `
  -ZoneScope "GuestScope" `
  -Action IGNORE `
  -QType "A","AAAA","SRV" `
  -Name "internal-only.iehang.cn" `
  -PassThru

# 查看所有策略
Get-DnsServerQueryResolutionPolicy -ZoneName "iehang.cn"

Part 3 · DNS Response Rate Limiting（防放大攻击）

# 启用 DNS RRL（WS 2022 新增功能）
Enable-DnsServerRRL

# 配置 RRL 参数
Set-DnsServerRRL -Mode Enable `
  -ResponsesPerSec 5 `
  -ErrorsPerSec 10 `
  -Window 5 `
  -LeakRate 3 `
  -MaxResponsesPerSec 100

# 查看 RRL 日志
Get-WinEvent -FilterHashtable @{LogName="DNS Server";ID=770} -MaxEvents 10

生产环境建议：对内部可信 DNS 关闭 RRL（内网不应限速）：

# 对特定来源禁用 RRL
Add-DnsServerRRLExceptionList -IPAddress 192.168.10.0/24

Part 4 · WS 2022 DNS 特有检查项

# 查看 DNS Policy 生效状态
Get-DnsServerQueryResolutionPolicy -ZoneName "iehang.cn" | Select Name,Action,QType

# DNS Analytics 状态（混合场景）
Get-DnsServerAuditLog -ComputerName localhost

# DNS RRL 日志统计
Get-DnsServerStatistics | Select-Object QueryReceived,ResponseSent,DnsUpdateRequestReceived

Part 5 · DNS 常见故障

故障一：DNS Policy 策略不生效

排查：

# 查看策略执行顺序（Priority 数字越小优先级越高）
Get-DnsServerQueryResolutionPolicy -ZoneName "iehang.cn" | Sort Priority | Format-Table Name,Priority,Action

# 查看 DNS 服务器缓存是否命中
Clear-DnsServerCache -ComputerName localhost
Get-DnsServerCache -ComputerName localhost | Select Entry,TimeToLive,RecordType

故障二：区域传送被拒绝

（同 WS 2019，参见第1季第2篇）

故障三：DNS 解析缓慢

# 检查递归超时设置
Get-DnsServerForwarder | Select IPAddress,Timeout

# 检查是否有上游 DNS 不响应，移除不响应的转发器
Remove-DnsServerForwarder -IPAddress "无效IP"

# 开启 DNS 缓存并优化
Set-DnsServerCache -MaxSize 10000 -EnablePollutionProtection $true

下期预告

WS 2022 DHCP 多了什么？DHCP Failover 改进、DHCP Policy 条件分配、Audit Logging 增强……

下一期：Windows Server 2022 DHCP 部署与高可用配置。