Fqdn: Каким должен быть FQDN для сервера в локальной сети? — Хабр Q&A

Общие сведения о тегах FQDN для Брандмауэра Azure

• Статья
• 12/23/2021
• Чтение занимает 2 мин

Были ли сведения на этой странице полезными?

Оцените свои впечатления

Да Нет

Хотите оставить дополнительный отзыв?

Отзывы будут отправляться в корпорацию Майкрософт. Нажав кнопку «Отправить», вы разрешаете использовать свой отзыв для улучшения продуктов и служб Майкрософт. Политика конфиденциальности.

Отправить

В этой статье

Тег FQDN — это группа полных доменных имен (FQDN), связанных с известными службами Майкрософт. Теги FQDN можно использовать в правилах приложений, чтобы разрешить нужный исходящий сетевой трафик через брандмауэр.

Например, чтобы вручную разрешить сетевой трафик для Центра обновления Windows через брандмауэр, нужно создать несколько правил приложения согласно документации Майкрософт. А с помощью тегов FQDN можно создать правило приложения и включить тег

Центра обновлений Windows. После этого сетевой трафик сможет проходить через брандмауэр к конечным точкам Центра обновления Windows.

Вы не можете создать собственные теги FQDN или указать, какие имена FQDN должны входить в тег. Майкрософт управляет полными доменными именами, включенными в теги FQDN, и обновляет тег, если эти имена меняются.

В следующей таблице показаны текущие теги FQDN, которые можно использовать. Корпорация Майкрософт поддерживает эти теги и периодически будет добавлять новые.

Примечание

При выборе тега FQDN в правиле приложения поле protocol:port должно иметь значение https.

Дальнейшие действия

См. дополнительные сведения о том, как развернуть и настроить Брандмауэр Azure с помощью портала Azure.

Настройка локального FQDN имени для 3CX Phone System

Posted on December 27th, 2014 by Игорь Снежко, Customer Support Regional Manager — Russia & Ukraine

Использование 3CX Phone System предполагает использование локального FQDN имени сервера. Добавление имени хоста в DNS создает связь между IP адресом и полным сетевым именем этого хоста. Настройка внутреннего FQDN имени необходима, прежде всего, для возможности подключения по HTTPS. В этом случае используется не IP адрес хоста, а его полное сетевое имя. Есть еще несколько причин использования FQDN имен в сети:

• 3CX с данный момент предлагает разработчикам IP телефонов переходить на HTTPS Provisioning в локальной сети.
• Клиенты 3CXPhone используют протокол HTTPS для получения расширенной информации о присутствии, статусах и истории вызовов.
• FQDN имя легче запомнить, чем IP адрес.

Конечно, в домашней или очень небольшой сети использование FQDN не столь критично, но в средних и крупных инсталляциях внутренний DNS сервер и FQDN имена хостов являются обязательными. В данном примере рассматривается настройка DNS на Windows Server 2012 R2.

Предварительные требования

• DNS сервер в локальной сети (Windows DNS сервер или другой настраиваемый DNS сервер)

Шаг 1: Добавьте DNS роли

1. Запустите Server Manager.
2. Нажмите Manage в правом верхнем углу окна Server Manager и из выпадающего списка выберите Add Roles and Features.
3. Откроется мастер Add Roles and Features. Нажмите Next.
4. Оставьте опцию Role-based or feature-based installation и нажмите Next.
5. Выберите сервер на который планируется установить новую роль и нажмите Next.
6. Выберите из списка DNS Server. В открывшемся диалоговом окне оставьте опции по умолчанию, нажмите Add Features и Next.
7. На странице Features нажмите Next.
8. На странице DNS Server нажмите Next.
9. Нажмите Install.
10. . После завершения установки нажмите Close и переходите к Шагу 2.

Шаг 2: Добавьте новую зону

В консоли Server Manager:

1. Нажмите Tools в правом верхнем углу и из выпадающего списка выберите DNS.
2. Откроется DNS manager. Кликните правой кнопкой по имени сервера и выберите New Zone….
3. Откроется New Zone Wizard. Нажмите Next.
4. Отставьте по умолчанию Primary zone и нажмите Next.
5. Выберите Forward lookup zone и нажмите
   Next.
6. Укажите имя зоны, например “example.local” и нажмите Next.
7. На странице Zone File оставьте опции по умолчанию и нажмите Next.
8. На странице Dynamic Update оставьте опции по умолчанию и нажмите Next.
9. Нажмите Finish.

Шаг 3: Добавьте новый хост

Созданная зона появится в разделе Forward Lookup Zones:

1. Кликните правой по созданной зоне и выберите New Host (A or AAAA)….
2. Укажите имя хоста, например “pbx”.
3. Укажите локальный IP адрес сервера 3CX Phone System.
4. Нажмите Add Host. Появится подтверждение добавления хоста “pbx.example.local”. Нажмите OK и Done.

Именно это FQDN имя вы должны использовать в разделе Internal FQDN при установке 3CX Phone System.

Проверка DNS записи

Для проверки корректной работы DNS сервера и соответствия FQDN имени правильному IP адресу:

1. Откройте командную консоль на компьютере в локальной сети.
2. Введите nslookup с FQDN именем, например, nslookup pbx.example.local
3. В ответ вы должны получить правильный IP адрес хоста, в этом примере 192.168.9.79

Похожие записи

Объяснение. Подключение к компьютерам с использованием IP-адреса и полного доменного имени (FQDN)

В сетях, в которых используется NTLM или базовая конфигурация Kerberos в качестве протокола аутентификации, указание

IP-адреса в виде метода подключения обычно будет работать нормально. Это означает, что консоль Security Controls будет выполнять подключение к клиентам с использованием IP-адресов компьютеров. Это значение по умолчанию.

Однако некоторые сети работают с усиленными ограничениями. В таких условиях может быть запрещено использовать NTLM или применяются дополнительные меры безопасности Kerberos на основе групповых политик. В частности, если клиентские компьютеры в вашей среде подключаются к серверам с использованием протокола SMB (Server Message Block), может потребоваться проверка на уровне SPN (Service Principal Name). В таком случае вы должны использовать

Полное доменное имя (FQDN) в качестве вашего метода подключения. Это выполнит дополнительные требования проверки. Подключение с использованием IP-адреса не будет соответствовать требованиям проверки SPN, и консоль не сможет выполнить подключение к вашим клиентским компьютерам.

Однако существует один аспект. Если вы работаете в среде с ограничениями NTLM или SPN и указываете полное доменное имя (FQDN) в качестве метода подключения, сообщения о выполнении не будут отображаться во время развертывания исправлений на размещенных на хосте неактивных виртуальных компьютерах.

В новых версиях Windows, вероятно, будут использоваться более строгие меры безопасности. Более старые версии компьютеров под управлением ОС Windows и, не использующие ограничений, смогут работать с использованием метода подключения FQDN. Поэтому, если вы используете различные виды компьютеров, выбирайте

полное доменное имя (FQDN).

Для получения дополнительной информации см. следующую статью Microsoft.

Если вы сомневаетесь, выберите IP-адрес, а затем выполните несколько тестовых сканирований на своих клиентских компьютерах для проверки установки подключений. Если сканирование завершится неудачно из-за ошибок подключения, выберите Полное доменное имя (FQDN) и проверьте, поможет ли это устранить проблему.

Родственные темы

•Параметры сканирования

•Диалог ‘Группа компьютеров’: Верхний раздел

•Управление свойствами отдельных компьютеров

•Управление свойствами нескольких компьютеров

D-Link

Вопрос: Как заблокировать доступ к сайту используя FQDN вместо URL фильтрации?

---

Ответ: 

Устройство DFL позволяет в IP политиках использовать в качестве адреса FQDN (доменное имя ) объект вместо обычных IP адресов. При помощи данной функции можно ограничить доступ к сайтам не используя http/https ALG или web policy.

Разница при использовании блокирования по FQDN в IP политике и другими методами, только в том, что пользователю не будет выводиться сообщение о том, что данный ресурс заблокирован.

В этом примере будет произведена блокировка сайтов vk.com и facebook.com.

ВНИМАНИЕ!! Убедитесь, что в настройках DFL System → DNS, установлен рабочий DNS сервер.

Создание FQDN объектов.

Пример для web интерфейса.

Пройдите в web интерфейсе Objects → Address Book, затем нажмите кнопку Add и из выпадающего меню выберите FQDN Address

Заполните поля следующим образом:

Name: vk Address: vk.com

Затем нажмите Ок.

Создайте аналогично FQDN объект с параметрами:

Name: facebook
Address: facebook.com

Пример для CLI.

Выполните в CLI команды:

add Address FQDNAddress vk Address=vk.com
add Address FQDNAddress facebook Address=facebook.com

ВНИМАНИЕ!!! Следует помнить, что некоторые сайты могут иметь альтернативные доменные имена. В этом случае их так же надо блокировать. Так же сайты с www и без могут иметь разные IP (например если вы заблокируете только домен youtube.com, то www. youtube.com имеющий другой IP адрес будет открываться без ограничений ).

Объединим FQDN адреса в группу для упрощения настройки IP политики.

Пример для web интерфейса.

Пройдите в web интерфейсе Objects → Address Book, затем нажмите кнопку Add и из выпадающего меню выберите FQDN Group.

Укажите в поле «Name» значение «block» и добавьте объекты vk и facebook в меню selected.

Нажмите кнопку Ок.

Пример для CLI.

Выполните в CLI следующую команду:

add Address FQDNGroup block Members=vk,facebook

Создадим IP политику.

Пример для web интерфейса.

Пройдите в web интерфейсе Policies → Firewalling → Main IP Rules, затем нажмите кнопку Add и из выпадающего меню выберите IP Policy.

Заполните поля следующим образом:

Name: block
Deny Behavior: Reject

Source Interface: lan1
Source Network: lan1_net
Destination Interface: wan1
Destination Network: block
Service: all_services

Нажмите кнопку Ок.

Пример для CLI.

Выполните в CLI следующую команду:

add IPPolicy Name=block SourceInterface=lan1 SourceNetwork=InterfaceAddresses/lan1_net DestinationInterface=wan1 DestinationNetwork=block Service=all_services Action=Deny Reject=Yes

Теперь для того, чтоб это правило заработало, необходимо разместить это правило выше правила, которое разрешает доступ в интернет.

Пример для web интерфейса.
Кликните правой кнопкой мышки на созданную политику и выберите из открывшегося меню Move to Top.

Пример для CLI.

Выполните в CLI команду:

set IPPolicy 3(block) Index=1

Сохраните и активируйте настройки.

Определение FQDN (полное доменное имя)

Полное доменное имя или полное доменное имя записывается с именем хоста и доменным именем, включая домен верхнего уровня, в следующем порядке: [имя хоста].[домен].[tld] .

В этом сценарии «квалифицированный» означает «указанный», поскольку полное местоположение домена указано в имени. Полное доменное имя указывает точное местоположение хоста в DNS. Если имя не указано, оно называется частично определенным доменным именем или PQDN.Дополнительная информация о PQDN приведена внизу этой страницы.

Полное доменное имя также может называться абсолютным доменным именем , поскольку оно предоставляет абсолютный путь к хосту.

Примеры полных доменных имен

Полное доменное имя всегда записывается в следующем формате: [имя хоста].[домен].[tld] . Например, почтовый сервер в домене example.com может использовать полное доменное имя mail.example.com .

Вот еще несколько примеров полных доменных имен:

.

  www.microsoft.com 
  en.wikipedia.org 
  p301srv03.timandtombreadco.us 
 

​

Дополнительная информация о полном доменном имени

Полные доменные имена требуют точки в конце. Это означает www.microsoft.com. будет приемлемым способом ввести это полное доменное имя. Однако в большинстве систем точка просто подразумевается, даже если вы не указываете ее явно. Некоторые веб-браузеры могут даже позволить вам ввести точку в конце URL-адреса, но это не обязательно.

Доменные имена, которые не являются «полностью определенными», всегда будут иметь некоторую двусмысленность.Например, p301srv03 не может быть полным доменным именем, поскольку существует любое количество доменов, в которых также может быть сервер с таким именем. p301srv03.wikipedia.com и p301srv03.microsoft.com — это всего лишь два примера — знание только имени хоста мало что вам даст.

Даже microsoft.com не является полным, потому что мы не знаем наверняка, что такое имя хоста, даже если большинство браузеров автоматически предполагают, что это www .

Эти доменные имена, которые не являются полностью определенными, на самом деле называются частично определенными доменными именами . В следующем разделе содержится дополнительная информация о PQDN.

Частично определенное доменное имя (PQDN)

Другой термин, похожий на полное доменное имя, — это PQDN или частично определенное доменное имя, которое представляет собой просто доменное имя, указанное не полностью. Пример p301srv03 из приведенного выше является PQDN, потому что, хотя вы знаете имя хоста, вы не знаете, какому домену оно принадлежит.

Частично определенные доменные имена используются только для удобства, но только в определенных контекстах. Они предназначены для особых сценариев, когда проще ссылаться на имя хоста, не ссылаясь на полное полное доменное имя. Это возможно, потому что в этих контекстах домен уже известен где-то еще, и поэтому для конкретной задачи требуется только имя хоста.

Например, в записях DNS администратор может ссылаться на полное доменное имя, например en.wikipedia.org  или просто сократите его и используйте имя хоста en . Если его сократить, остальная часть системы поймет, что в этом конкретном контексте en  на самом деле относится к en.wikipedia.org .

Однако вы должны понимать, что FQDN и PQDN — это совершенно разные вещи. Полное доменное имя предоставляет полный абсолютный путь к хосту, в то время как PQDN дает только относительное имя, которое является лишь небольшой частью полного доменного имени.

Спасибо, что сообщили нам!

Расскажите нам, почему!

Другой Недостаточно подробностей Сложно понять

О политиках по доменному имени (FQDN)

Вы можете использовать полные доменные имена (FQDN) в настройках политики Firebox.Если вы используете полные доменные имена в конфигурации, вы также должны настроить DNS в Firebox, чтобы Firebox мог разрешать доменные имена. Дополнительные сведения см. в разделе Конфигурация DNS.

Вы можете использовать доменные имена в своих политиках для управления трафиком на основе домена. Например:

• Разрешить трафик на сайты обновлений программного обеспечения, такие как windowsupdate.microsoft.com или сайты обновления антивирусных сигнатур, даже если весь остальной трафик заблокирован.
• Блокировать или разрешать трафик к определенным доменам.
• Блокировать трафик на определенный домен, но создать исключение для поддомена.
• Использовать прокси-сервер HTTP для всего веб-трафика, но не использовать прокси-сервер для сетей доставки контента, таких как *.akamai.com .
• Используйте разные политики прокси для разных доменов.Например, вы можете использовать одну политику прокси для example.com и другую политику прокси для example2.com .

С поддержкой доменного имени вы можете:

Имена хостов FQDN, определенные в поле From политики, не разрешаются в режиме реального времени и предназначены для нединамических имен хостов, таких как внутренние имена хостов, которые редко изменяются. Полные доменные имена не разрешаются, если другое устройство или система в вашей сети не разрешает имя хоста, а соответствующий IP-адрес не обновляется в базе данных сопоставлений полных доменных имен.В этих случаях мы рекомендуем вместо этого использовать псевдоним. Дополнительные сведения см. в разделе О псевдонимах.

Вы можете использовать конкретное доменное имя (host.example.com) или доменное имя с подстановочным знаком (*.example.com). Например, подстановочный домен *.example.com включает:

• example.com
• a.example.com
• б.пример.com
• a.b.example.com

Подстановочные доменные имена должны включать как минимум две метки домена, например *.example.com . Подстановочные доменные имена, включающие только домен верхнего уровня, например *.com , не поддерживаются.

Вы также можете использовать подстановочные знаки поддоменов, например:

• *.b.example.com
• *.b.c.example.com
• *.b.c.d.example.com

Многоуровневые подстановочные знаки поддоменов в полном доменном имени поддерживаются только в Fireware версии 12.2 и более поздних.

Эти записи с подстановочными знаками не поддерживаются:

• *.net или *.com (список записей IP-адресов будет слишком большим для обработки)
• *.*.example.com
• пример*.com
• *. пример.*.com
• пример.*.com

Разрешение доменного имени

Когда вы определяете доменное имя в своей конфигурации, ваш Firebox выполняет прямое разрешение DNS для указанного домена и сохраняет сопоставления IP-адресов.Для доменов с подстановочными знаками, таких как *.example.com , устройство выполняет прямое разрешение DNS для example.com и www.example.com .

Чтобы разрешить поддомены, подразумеваемые *.example.com , Firebox анализирует ответы DNS, которые соответствуют конфигурации вашего доменного имени. Когда DNS-трафик проходит через Firebox, Firebox сохраняет ответы сопоставления IP-адресов с соответствующими запросами. Используются только записи A и CNAME.Любые другие записи игнорируются.

Ограничения

Обратите внимание на следующие ограничения при использовании доменных имен:

Firebox сохраняет записи DNS для полных доменных имен в течение периода времени, указанного значением TTL (время жизни), предоставленным DNS-сервером.

Вопросы конфигурации

При настройке доменных имен учитывайте следующее:

• Одно доменное имя может соответствовать нескольким IP-адресам — Возможно, что разные DNS-серверы могут возвращать разные ответы с IP-адресами в зависимости от географического положения, часового пояса, конфигурации балансировки нагрузки и других факторов.
• Конкретный IP-адрес может сопоставляться с несколькими доменными именами — Когда домен разрешается в IP-адрес, это эквивалентно политике брандмауэра с этим конкретным IP-адресом в политике. Если другой домен или субдомен также разрешается в тот же IP-адрес, входящий или исходящий трафик этого домена также будет соответствовать этой политике. Это может создать сложности, если вы настраиваете разные действия с трафиком для каждого домена или домена с подстановочными знаками. Используемое сопоставление IP-адресов полного доменного имени определяется приоритетом обработки:
  1. Исключения заблокированных сайтов
  2. Заблокированные сайты
  3. Политики (на основе порядка политик)
• Одно и то же полное доменное имя может использоваться более чем в одной политике. . Конфигурация политики предотвращает проблемы с совпадением нескольких полных доменных имен в различных функциях уровня пакетов, таких как исключения заблокированных сайтов, заблокированные сайты и политики.Полные доменные имена разрешаются приоритетом политики.
• Несколько доменных имен для одного и того же сайта — Многие главные страницы веб-сайтов извлекают данные с других веб-сайтов и доменов второго уровня для изображений и другой информации. Если вы заблокируете весь трафик и разрешите определенный домен, вы также должны разрешить любые дополнительные домены, которые вызываются страницей. Firebox попытается сопоставить IP-адреса доменов второго уровня с подстановочным доменом, чтобы предоставить полный контент для сайта.

Конфигурация DNS

Firebox использует DNS-сервер для преобразования каждого доменного имени в IP-адрес. Чтобы использовать полные доменные имена, вы должны настроить DNS-сервер в сетевых настройках вашего Firebox или настроить внешний интерфейс для использования DHCP или PPPoE для получения конфигурации DNS. Мы рекомендуем, чтобы ваши клиенты и ваш Firebox использовали один и тот же DNS-сервер. Если клиент содержит другие сопоставления IP-адресов и доменов, чем Firebox, трафик не будет соответствовать правильной политике и может быть разрешен другой политикой или отброшен, если никакая политика не соответствует.

Если клиенты пытаются связаться с внутренним пунктом назначения с помощью внутреннего DNS-сервера, у Firebox может не быть возможности проанализировать этот трафик для локальных серверов. Мы рекомендуем, если вы используете внутренний DNS-сервер, DNS-сервер должен быть расположен во внутренней сети, отличной от ваших клиентов, чтобы Firebox мог видеть и анализировать ответы от DNS-сервера.

Для версий Fireware ниже v11.12.2, диспетчер политик не позволяет сохранять конфигурацию в Firebox, если конфигурация включает полные доменные имена, а DNS не настроен. Для Fireware версии 11.12.2 и более поздних версий Policy Manager предупреждает вас, если DNS не настроен, но позволяет сохранить конфигурацию в Firebox.

Конфигурация доменного имени и управление им зависят от вашей текущей топологии сети и местоположения вашего DNS-сервера, как описано в следующих разделах.

Внутренний DNS в локальной сети

Если клиенты и ваш Firebox используют внутренний DNS-сервер в одной сетевой зоне:

• Настройте свои клиенты и Firebox для использования локального DNS-сервера в качестве основного сервера имен.
• При добавлении записей домена с подстановочными знаками необходимо очистить локальный DNS-кэш ваших клиентов и DNS-сервера, чтобы убедиться, что сопоставления домена и IP-адреса обновлены. Это позволяет вашему Firebox проводить новый анализ и сопоставление ответов DNS.
• Чтобы очистить локальный кэш DNS вашего DNS-сервера, см. документацию для вашего DNS-сервера.
• Чтобы отобразить и очистить кеш DNS клиента Windows, введите следующие команды из командной строки:
• ipconfig/displaydns
• ipconfig /flushdns
• Сопоставления доменов не сохраняются при перезагрузке Firebox.Вы должны очистить локальный DNS-кэш ваших клиентов и вашего DNS-сервера, чтобы убедиться, что сопоставления домена/IP-адреса обновлены.
• В качестве альтернативы вы можете сохранить сопоставления доменов в вашем Firebox в файл флэш-памяти, который можно будет восстановить после перезагрузки. Чтобы сохранить сопоставления доменов во флэш-файле, в основном режиме CLI введите: диагностика fqdn «/fqdnd/save_wildcard_domain_labels»

Внутренний DNS в другой сети

Если клиенты используют внутренний локальный DNS-сервер в другой сетевой зоне (например, в отдельной сети вне Firebox):

• Настройте свои клиенты и Firebox для использования локального DNS-сервера в качестве основного сервера имен.
• Вам не нужно сбрасывать локальный кеш DNS ваших клиентов или DNS-сервера, когда вы добавляете подстановочный домен в свою конфигурацию или когда вы перезагружаете Firebox.

Внешний DNS

Если клиенты и ваш Firebox используют внешний DNS-сервер:

• Настройте свои клиенты и Firebox для использования внешнего DNS-сервера в качестве основного сервера имен.Если ваш Firebox использует DHCP или PPPoE на внешнем интерфейсе для получения конфигурации DNS, будет использоваться этот DNS-сервер.
• Вам не нужно сбрасывать локальный кеш DNS ваших клиентов или DNS-сервера, когда вы добавляете подстановочный домен в свою конфигурацию или когда вы перезагружаете Firebox.

Журналы и отчеты

Вы можете просматривать разрешение имени домена и действия в сообщениях журнала и отчетах так же, как и другие IP-адреса и хосты.

Если вы используете домен с подстановочными знаками, он отображается как подстановочный знак в сообщениях журнала, например *.example.com . Конкретный поддомен, вызвавший действие, не отображается.

См. также

О странице политик брандмауэра

Добавление политик в вашу конфигурацию

О диспетчере политик

О DNS в Firebox

Полный домен — обзор

Разрешение имен хостов

Имя хоста — это имя или псевдоним, присвоенный устройству (также называемому хост или узел) для идентификации его как хост-устройства TCP/IP.Это имя хоста может иметь длину до 255 символов, может содержать как буквенные, так и цифровые символы, а также может содержать «-» (дефис) и «.» (точка или точка). На самом деле компьютеру или устройству может быть назначено несколько имен хостов. Начиная с Windows 2000, имя хоста и имя компьютера могут не совпадать.

Приложения на основе WinSock могут использовать либо имя хоста, либо IP-адрес. И Internet Explorer, и FTP являются примерами приложений на основе WinSock, которые используют либо имя хоста, либо IP-адрес.Если для назначения используется имя хоста, оно должно быть преобразовано в IP-адрес, связанный с именем хоста.

Имена хостов могут принимать различные формы, но наиболее распространенными являются псевдонимы (псевдонимы) и доменные имена. Прозвище может быть Galileo или JohnS. Доменные имена — это имена хостов, соответствующие широко известным соглашениям об именах в Интернете.

InterNIC создала иерархическое пространство имен под названием DNS, которое позволяет организациям создавать собственные имена на основе согласованной иерархии.Эта система похожа на структуру каталогов на диске. Уникальное имя хоста в рамках этого типа иерархии называется Полное доменное имя (FQDN). Пример полного доменного имени: server01.example.somecompany.com . Корень обозначается нулем «». Домен верхнего уровня — «com», знакомый большинству людей в сегодняшней среде. «Somecompany» представляет домен второго уровня, «example» представляет домен третьего уровня, а «server0l» — хост (имя компьютера).Уникальное имя хоста представляет собой всю строку. Например, хост с именем server0l может находиться в другом домене, таком как example2, и в этом случае полное доменное имя будет server01.example2.somecompany.com . Каждое имя по-прежнему уникально, поскольку в качестве имени используется вся строка. Доменные имена не чувствительны к регистру. Полные доменные имена должны быть преобразованы в IP-адреса для правильной отправки и получения данных. Имена хостов (псевдонимы или полные доменные имена) можно разрешить с помощью файла статического хоста, с помощью сервера DSN для поиска или с помощью комбинации этих двух способов.

Hosts File

UNIX уже давно использует файл hosts для хранения сопоставлений имен хостов и IP-адресов. Этот файл также можно использовать на компьютерах под управлением Windows. В системах UNIX файл hosts обычно находится в /etc/hosts. На компьютере с Windows Server 2003 (или Windows 2000) он находится в каталоге \%SystemRoot%\system32\drivers\etc. Файл представляет собой простой текстовый файл (но сохраненный без расширения TXT), в котором перечислены IP-адрес и имя хоста каждого определенного устройства.Ниже приведен пример файла hosts.

#

# Таблица IP-адресов и хостов

#

Localhost
132.14.29.1	Маршрутизатор
191.87.221.2	Server2, somecompany, com
191.87.221.3	server3, например, somecompany, com galileo

Обратите внимание, что сначала указывается IP-адрес, а затем имя хоста.Обратите внимание, что в последней строке этого примера файла hosts есть два имени: server3.example.somecompany.com и galileo. В файле hosts вы можете сопоставить как полное доменное имя, так и псевдоним (псевдоним) с одним и тем же связанным IP-адресом. Таким образом, есть три способа добраться до этого устройства: используя galileo, server3.example.somecompany.com или 191.87.221.3. Файлы hosts в Windows NT, 2000 и 2003 не чувствительны к регистру и называются hosts. В других операционных системах, например в UNIX, файл hosts чувствителен к регистру.

При использовании файла hosts возникают две большие проблемы. Во-первых, это статический файл. Если какие-либо имена или адреса изменяются, их необходимо изменить вручную в файле hosts. Если у вас есть файл hosts на 1500 компьютерах, который определяет местоположение и имя маршрутизатора, а также информация об изменениях, вам может понадобиться большая работа, когда вам нужно будет изменить этот файл hosts на всех 1500 компьютерах и других устройствах, использующих этот маршрутизатор. .Кроме того, если количество определенных хостов в файле hosts становится большим, анализ файла может занять много времени. Это приводит к задержке, поскольку ваш компьютер читает длинный файл, пытаясь найти имя хоста и связанный с ним IP-адрес.

Разрешение системного имени доменного имени

Альтернативой файлу hosts является использование DNS-сервера. DNS-серверы хранят переводы полных доменных имен в IP-адреса. На компьютере работает DNS-клиент, называемый DNS-преобразователем , , который настроен с использованием IP-адреса DNS-сервера.Когда необходим IP-адрес, преобразователь DNS запрашивает информацию с DNS-сервера, сначала переводя предоставленное полное доменное имя в запрос имени DNS. Когда IP-адрес возвращается с DNS-сервера, преобразователь DNS предоставляет эту информацию запрашивающему приложению. DNS — это распределенная система, поэтому не все сопоставления находятся на всех DNS-серверах. Каждый DNS-сервер отвечает за определенный сегмент имен и либо возвращает запрошенную информацию, либо перенаправляет ее на соответствующий DNS-сервер.Мы узнаем больше о DNS позже в этой книге.

В реализации TCP/IP для Windows для разрешения имен узлов используются как файл hosts, так и DNS. Сначала проверяется файл hosts, и если нужное сопоставление отсутствует, будет запрошен DNS.

Правила для полного доменного имени для сертификатов SSL/TLS

Правила для полного доменного имени для сертификатов SSL/TLS
Цель:  Понять, какие символы разрешены в полном доменном имени для сертификатов SSL/TLS.

Кто решает, что разрешено находиться в домене?
Регистраторы доменов решают, что разрешено иметь в домене.RFC 1035 (DNS/доменные имена) содержит правила реализации и спецификации.

Какие символы разрешены в домене?
Допускаются только буквы, цифры и дефисы.

Что такое полное доменное имя?
Полное доменное имя состоит из www.( Имя хоста ) entrustdatacard ( Домен второго уровня SLD ). com ( Домен верхнего уровня TLD ).

Что такое домен верхнего уровня?
IANA, Управление по присвоению номеров в Интернете, показывает все делегирования для доменов верхнего уровня (TLD), которые являются частью FQDN.Entrust разрешает выдачу сертификатов SSL/TLS только из TLD, зарегистрированного в IANA.

Какие домены верхнего уровня разрешены?
См. полный список в IANA.

Разрешены ли символы подчеркивания в полном доменном имени?
В ноябре 2018 года Форум CA Browser (бюллетень SC 12) принял решение прекратить использование символов подчеркивания в доменных именах сертификатов SSL/TLS. Все сертификаты подчеркивания были отозваны или срок их действия истек к 30 апреля 2019 года. Кроме того, «в соответствии с RFC 1035 «DNS/доменные имена — реализация и спецификация» символы подчеркивания не разрешены в доменных именах.

Разрешены ли в доменах специальные символы?
Специальные символы не допускаются в доменах регистраторами доменов.

Если у вас есть какие-либо вопросы или проблемы, обратитесь в отдел поддержки службы сертификации Entrust для получения дополнительной помощи:
Часы работы:
с воскресенья с 20:00 по восточноевропейскому времени до пятницы с 20:00 по восточному времени
Северная Америка (звонок бесплатный) : 1-866-267-9297
За пределами Северной Америки: 1-613-270-2680 (или см. список ниже)
ПРИМЕЧАНИЕ. Очень важно, чтобы международные абоненты набирали номер в формате UITF точно так, как указано.Не набирайте лишнюю «1» перед «800», иначе ваш звонок не будет принят в качестве бесплатного звонка UITF.

6

Страна
номер	номер
australia	0011 — 800-3687-7863 1-800-7663
Австрия	00 — 800-3687-7863
Бельгия	00 — 800-3687-7863
Denmark	00 — 800-3687-7863 900-3687-7863
Финляндия	990 — 800-3687-7863 (Telecom Finland) 00 — 800-3687-7863 Finnet)
Франция
00 — 800-3687-7863 3
Германия	00 — 800-3687-7863 3
Гонконг	001 — 800-3687-7863 (Голос) 002 — 800-3687-7863 (факс)
ирландия	00 — 800-3687-7863 900-3687-7863
Израиль	014 — 800-3687-7863
00 — 800-3687- 7863
Япония	001 — 800-3687-7863 (KDD) 004 — 800-3687-7863 (ITJ) 0061 — 800-3687-7863 (IDC)
Корея	001 — 800-3687-7863 (Корея Телеком) 002 — 800-3687-7863 (Даком)
Малайзия	00 — 800-3687-7863 900-3687-7863
Нидерландов	Netherlands	00 — 800-3687-7863
Новая Зеландия	00 — 800-3687-7863 0800-4413101
Норвегия	00 — 800-3687-7863
Singapore	001 — 800-3687-7863
Испания	00 — 800-3687-7863
Швеция	00 — 800-3687- 7863 (Telia) 00 — 800-3687-7863 (Tele2)
Швейцария	00 — 800-3687-7863 3
Тайвань	00 — 800-3687-7863
Великобритания	00 — 800-3687-7863 0800 121 6078 +44 (0) 118 953 3088

FQ DN (полное доменное имя)

Полное доменное имя или полное доменное имя — это доменное имя, указывающее точное местоположение веб-страницы.Примером полного доменного имени может быть «https://www.tech-faq.com/», где «com» ​​используется для указания корневого домена, на котором размещен Tech-FAQ, «www» указывает имя хоста, а «http» указывает протокол передачи. В то время как клиент FTP или SSH может распознать адрес «tech-faq.com», он может и не распознать его в зависимости от настроек клиента. Чтобы клиент мог найти сервер Tech-FAQ, разумно всегда вводить полное доменное имя для любого клиента, который к нему подключается.

 

Как работает полное доменное имя

Полное доменное имя служит уникальным путем к определенной веб-странице, точно так же, как каждая папка и файл на компьютере пользователя имеют уникальный путь.В то время как компьютер пользователя использует «C:/», «D:/» или другую букву для обозначения жесткого диска, на котором находится папка или файл, полное доменное имя использует «.com», «.net» или другую аббревиатуру. для обозначения домена, на котором размещен веб-сервер.

Точно так же компьютер может использовать «Windows», «Programs» или другое имя для обозначения папок на жестком диске, в то время как полные доменные имена используют «.tech-faq», «.wikipedia» или другое имя для обозначения веб-сервера или « папка», которая находится в домене.

Аналогичным образом, каждому веб-серверу разрешено создавать поддомены, такие как «myemail», «блог», «новости» или просто «www», для обозначения определенных папок на веб-сервере.Затем все файлы на веб-сервере перечислены после расширения «.com» или «.net», чтобы указать точное местоположение веб-страницы.

Например, https://www.tech-faq.com/fqdn.html используется для описания точного местоположения этой веб-страницы, на которой этот HTML-документ находится в папке «www» сервера Tech-FAQ на домен «.com», и ваш браузер использует HTTP для доступа к нему.

 

Приложения

Полные доменные имена

используются для указания клиенту точного местоположения веб-страницы или веб-сервера.Например, полное доменное имя https://www.tech-faq.com/fqdn.html указывает точное местоположение этой веб-страницы, а простой ввод «tech-faq.com» в браузере заставит браузер предположить, что пользователь означает https://www.tech-faq.com/ и откроет домашнюю страницу Tech-FAQ, что нормально, если пользователь хочет получить доступ к этой странице, но может привести к тому, что пользователь загрузит файлы в неправильную папку при входе в FTP или SSH-клиент.

Подключение к машинам с использованием IP-адреса и полного доменного имени (FQDN)

Для сетей, использующих NTLM или базовую конфигурацию Kerberos в качестве протокола проверки подлинности, указание IP-адреса в качестве метода подключения обычно работает нормально.Это означает, что консоль управления безопасностью будет подключаться к клиентам, используя IP-адреса машин. Это значение по умолчанию.

Однако некоторые сети работают в более строгих условиях. Они могут ограничивать NTLM или использовать дополнительные меры безопасности Kerberos, реализованные с помощью групповой политики. В частности, если клиентские компьютеры в вашей среде устанавливают соединение с серверами с использованием протокола блока сообщений сервера (SMB), может потребоваться определенный уровень проверки имени участника службы (SPN) клиента.В этом случае вы должны выбрать Полное доменное имя (FQDN) в качестве метода подключения. Это позволит удовлетворить дополнительные требования проверки. Подключение с использованием IP-адреса не будет соответствовать требованиям проверки имени участника-службы, и консоль не сможет установить соединение с вашими клиентскими машинами.

Есть одно предостережение. Если вы работаете в среде с ограничениями NTLM или SPN и указали полное доменное имя в качестве метода подключения, сообщения о ходе выполнения не будут отображаться при развертывании исправлений на виртуальных машинах, размещенных в автономном режиме.

Более новые версии Windows, скорее всего, будут использовать более строгие меры безопасности. Старые версии компьютеров Windows, на которых не используются ограничения, смогут работать с использованием метода подключения FQDN. Поэтому, если у вас несколько компьютеров, выберите Полное доменное имя (FQDN) .

Дополнительные сведения см. в этой статье Microsoft.

Если вы сомневаетесь, выберите IP-адрес , а затем выполните несколько тестовых сканирований на своих клиентских компьютерах, чтобы убедиться, что подключения выполняются.Если сканирование не выполняется из-за ошибок подключения, выберите Полное доменное имя (FQDN) и посмотрите, решит ли это проблему.

Связанные темы

• Параметры сканирования

• Диалоговое окно «Группа компьютеров»: верхняя часть

• Управление свойствами отдельных компьютеров

• Управление несколькими свойствами компьютера

Фильтрация FQDN брандмауэра Azure в сетевых правилах

• Статья
• 01.09.2021
• 2 минуты на чтение

Полезна ли эта страница?

Пожалуйста, оцените свой опыт

да Нет

Любая дополнительная обратная связь?

Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

Полное доменное имя (FQDN) представляет собой доменное имя узла или IP-адреса. Вы можете использовать полные доменные имена в сетевых правилах на основе разрешения DNS в брандмауэре Azure и политике брандмауэра. Эта возможность позволяет фильтровать исходящий трафик по любому протоколу TCP/UDP (включая NTP, SSH, RDP и т. д.).Вы должны включить DNS-прокси, чтобы использовать полные доменные имена в ваших сетевых правилах. Дополнительные сведения см. в разделе Параметры DNS брандмауэра Azure.

Примечание

По умолчанию фильтрация полных доменных имен в сетевых правилах не поддерживает подстановочные знаки

Как это работает

После того как вы определите, какой DNS-сервер нужен вашей организации (Azure DNS или ваш собственный настраиваемый DNS), брандмауэр Azure преобразует полное доменное имя в IP-адреса на основе выбранного DNS-сервера. Это преобразование происходит как для приложения, так и для обработки сетевых правил.

Когда происходит новое разрешение DNS, новые IP-адреса добавляются в правила брандмауэра. Старые IP-адреса, которые больше не возвращаются DNS-сервером, истекают через 15 минут. Правила брандмауэра Azure обновляются каждые 15 секунд с момента разрешения DNS для полных доменных имен в сетевых правилах.

Различия в правилах приложений и сетевых правилах

• Фильтрация полных доменных имен в правилах приложений для HTTP/S и MSSQL основана на прозрачном прокси-сервере уровня приложения и заголовке SNI.

  No related posts.