ローカルLANでユーザーがインターネットにアクセスできないようにする(www.yahoo.comを見るなど)のに問題があります
現在、Windows Server 2008 R2をインストールしており、ルーターのデフォルトゲートウェイを介したインターネットへのユーザーアクセスを許可しないように変更を加えていますが、すべての要求を単一のIPにリダイレクトするようにDNSサーバーを設定したいと思います。ローカルLANの例:ユーザーがNSそのDNSサーバーで「www.google.com」または「google.com」を検索しようとすると、IP192.168.1.1が返されます。
すべてのリクエストをそれ自体にポイントするようにWindowsDNSを設定するにはどうすればよいですか?
DNS管理を開きます。 google.comの新しい前方参照ゾーンを設定し、ホストAレコードを192.168.1.1に設定します。また、すべてのクライアントがサーバーをDNSとして使用していることを確認してください。
サーバー上にルートゾーン(。)を作成して、外部名のすべてのDNS解決を効果的に無効にすることができます。これにより、すべての外部名のすべてのDNS解決が無効になることに注意してください。
できるかわかりません。私の知る限り、Windows DNSで。タイプのレコードを作成して、すべての要求を1つのIPアドレスにリダイレクトできるとは思いません。そのネットワークセクションでインターネットアクセスが必要になることはないと確信している場合は、DNSからルートヒントを削除できます。これにより、内部ではないDNSへのすべての要求が失敗しますが、できるかどうかはわかりません。 Windows DNSでは、すべてのDNS要求を1つのIPアドレスに解決します。
ユーザーからのWebアクセスを制限しようとしている場合は、他の方法があります。承認されたホワイトリストにないすべてのWebトラフィックをプロキシするグループポリシーを0.0.0.0に設定することをお勧めします。これにより、すべてのトラフィックがブラックホール化されます。私は以前にクライアントのためにそれを行いました-特にホワイトリストが小さい場合(つまり、1つのSharePointサーバー)はそれほど難しくありません。
これを行うには、宛先DNSサーバーのすべてのルートヒントを削除し、fqdn "。"を使用して独自のルートゾーンを作成します。 (ドット)。これにより、解決クエリが最初のステップで停止します。
だが
ただし、DNSで行うことはすべてバイパス可能です...
ユーザーがtcp/ip構成でプライマリDNSサーバーを変更すると、DNSサーバーは有効になりません。ユーザーがIPアドレスで接続しようとすると、DNSサーバーは再び有効になりません。たとえば、DNSサーバーにgoogle.comのプライマリゾーンを作成し、必要なIPにAレコードを追加します。 DNSクライアントキャッシュをクリアします。そして、google.comを参照して、DNSサーバーがヒットし、構成されたIPアドレスを解決することを確認してから、「209.85.148.105」を参照してみてください。
ファイアウォールを設定したいと思います。 ISAまたはTMGかもしれません。