DNS 遞歸是不安全的，但對於內部應用程序是必要的？

在管理 Windows Server 2008 時，伺服器為某些域託管 DNS（即名稱伺服器），並託管一些可公開訪問的應用程序。

安全掃描表明 DNS 配置不安全，因為它允許遞歸查詢。

嘗試禁用遞歸查詢，但出現了幾個問題（從本地應用程序發送的電子郵件未傳遞，本地執行的連接到第三方站點的應用程序無法解析連接的域名等）。因此，源自伺服器本身的 DNS 請求似乎依賴於遞歸查詢來執行。

有沒有辦法禁用伺服器上託管的 DNS 的遞歸查詢，同時仍然允許源自伺服器的 DNS 查詢工作？我想知道我們是否可以禁用本地 DNS 伺服器上的遞歸查詢，並將網路設置中的傳出 DNS 設置為外部（如 8.8.8.8），以便傳出 DNS 查詢首先到達那裡，並且該伺服器的 DNS 只會結束查詢它實際在本地託管的域。

謝謝你的時間！

不向整個 Internet 提供遞歸查找功能是個好主意，因此將 DNS 伺服器配置為僅回答其權威的查詢是一件好事。

從表面上看，您在上一段中得出的結論聽起來不錯：配置伺服器自己的 TCP/IP 設置以使用授權提供遞歸查找*的DNS 伺服器。*DNS 伺服器程序不使用在服​​務器電腦的 NIC 上的 TCP/IP 設置中配置的 DNS 伺服器來進行任何特定的操作。相反，它根據 DNS 伺服器配置轉發請求（或使用根提示）。

當伺服器上執行的應用程序嘗試查詢域時，該機器上執行的 DNS 伺服器對該請求具有權威性，最終將使其到達該機器上執行的 DNS 伺服器程序，並且查詢將得到答复。

引用自：https://serverfault.com/questions/353569