我尝试使用 Windows 7 中的内置 DNSSEC 解析器,但它无法正常工作。
背景:
我目前在一个糟糕的国家,ISP 和政府总是毒害/劫持 DNS 答案,即使将 DNS 服务器设置为 google 或 OPENDNS,我也无法得到正确的答案。
每次他们试图毒害查询时,我的防火墙都会注意到我。我目前使用 VPN 和 DNScrypt,两者都可以正常工作,我刚刚在 Windows 7 中找到 DNSSEC 设置并想尝试一下,但似乎无法正常工作。
我的测试和结果:
A.配置之前:
当不使用VPN使用google DNS时,查询被污染,IP地址错误,防火墙发出警报。
当不使用VPN使用DNScrypt时,答案是正确的。
当使用带有VPN的google DNS时,答案是正确的。
B、打开本地组策略编辑器>计算机配置>Windows 设置>名称解析策略,在“此规则应用于命名空间的哪一部分”中设置为“任何”,勾选“在此规则中启用 DNSSEC”,其他框不勾选,然后点击“创建”,再点击“应用”按钮。
这些设置根本没有效果,结果与测试 0 相同。
C. 在测试1的基础上,我进一步勾选了“要求DNS客户端检查名称和地址数据是否已经通过DNS服务器验证”,其他选项均不勾选,并应用它。
现在 DNS 已死,在所有条件 a、b 和 c 下,都无法解析任何域名,ping 将回显“Ping 请求找不到主机 example.com。请检查名称并重试。”
D.在测试1的基础上,我进一步勾选了“在DNS客户端与DNS服务器之间的通信中使用IPsec”,其他选项均不勾选,并应用。
无论我为 IPSec 选择哪种“加密类型”,结果都与测试 2 相同,在所有条件下,DNS 都死亡。
E. 我在测试 2 和 3 中勾选了两个框,DNS 在所有条件下仍然无效(a、b 和 c)。
F. 我尝试将“高级全局策略设置”>“配置查询失败选项”设置为“对于任何类型的名称解析错误,始终返回到 LLMNR 和 NetBIOS。(最不安全)”。DNS 仍然无效。
那么有人能告诉我 Windows 7 中的 DNSSEC 出了什么问题吗?
谢谢!
答案1
看看这个简单的DNSCrypt: