実現したいこと
一部のサブネットにあるクライアントからのDNS再帰クエリをブロックしたい
前提
DNSサーバの運用を行っています。
原則社内全体に対してDNSクエリを禁止したいと考えていまが、
全体影響を考えて一部のサブネット(ここではx.x.x.x/xとします)からのみ再帰クエリを禁止しようと考えています。
また、一部のドメインに対して(ここでは*.yahoo.co.jpとします)は再帰クエリを許可したいと考えています。
流したPowerShellコマンド
下記5コマンドを流しました。
①Set-DnsServerRecursionScope -Name . -EnableRecursion $True
②Add-DnsServerRecursionScope -Name "InternalClients" -Forwarder 8.8.8.8,1.1.1.1 -EnableRecursion $False
③Add-DnsServerClientSubnet -Name "internal" -IPv4Subnet "x.x.x.x/x"
④Add-DnsServerQueryResolutionPolicy -Name "AllowRecursionPolicy" -Action ALLOW -FQDN "EQ,*.yahoo.co.jp" -ApplyOnRecursion -RecursionScope "InternalClients" -ClientSubnet "EQ,internal"
⑤Add-DnsServerQueryResolutionPolicy -Name "DenyRecursionPolicy" -Action DENY -ApplyOnRecursion -RecursionScope "InternalClients" -ClientSubnet "EQ,internal"
発生している問題・エラーメッセージ
⑤コマンドを流した時点で下記エラーが発生してしまいます。
A DNS recursion scope must not be associated with a server level policy that does not have ‘allow’ as action.
0 コメント