Windows

DNS 遞歸是不安全的,但對於內部應用程序是必要的?

  • January 31, 2014

在管理 Windows Server 2008 時,伺服器為某些域託管 DNS(即名稱伺服器),並託管一些可公開訪問的應用程序。

安全掃描表明 DNS 配置不安全,因為它允許遞歸查詢。

嘗試禁用遞歸查詢,但出現了幾個問題(從本地應用程序發送的電子郵件未傳遞,本地執行的連接到第三方站點的應用程序無法解析連接的域名等)。因此,源自伺服器本身的 DNS 請求似乎依賴於遞歸查詢來執行。

有沒有辦法禁用伺服器上託管的 DNS 的遞歸查詢,同時仍然允許源自伺服器的 DNS 查詢工作?我想知道我們是否可以禁用本地 DNS 伺服器上的遞歸查詢,並將網路設置中的傳出 DNS 設置為外部(如 8.8.8.8),以便傳出 DNS 查詢首先到達那裡,並且該伺服器的 DNS 只會結束查詢它實際在本地託管的域。

謝謝你的時間!

不向整個 Internet 提供遞歸查找功能是個好主意,因此將 DNS 伺服器配置為僅回答其權威的查詢是一件好事。

從表面上看,您在上一段中得出的結論聽起來不錯:配置伺服器自己的 TCP/IP 設置以使用授權提供遞歸查找*的DNS 伺服器。*DNS 伺服器程序不使用在服​​務器電腦的 NIC 上的 TCP/IP 設置中配置的 DNS 伺服器來進行任何特定的操作。相反,它根據 DNS 伺服器配置轉發請求(或使用根提示)。

當伺服器上執行的應用程序嘗試查詢域時,該機器上執行的 DNS 伺服器對該請求具有權威性,最終將使其到達該機器上執行的 DNS 伺服器程序,並且查詢將得到答复。

引用自:https://serverfault.com/questions/353569