我拥有几乎开箱即用的 Windows 2003 服务器,它也是某些用户的域名服务器。我应该担心5月5日在根名称服务器上部署 dnssec?
我已经运行过:
dnscmd /Config /EnableEDnsProbes 1
多谢!
附言:我的防火墙/网络基础设施不会阻止大于 512B 的 UDP 数据包
我的结果成熟测试:
宣布的缓冲区大小:1280 字节
测量的缓冲区大小:1259 字节
已启用 EDNS:是
DNSSEC 已启用:否
您的解析器未启用 DNSSEC。
注意:由于使用的算法不同,公布的缓冲区大小和测量的缓冲区大小之间总会存在差异。但是,这个差异不应超过 300 字节。
附言 #2
这是活动目录服务器,因此它具有 DNS 服务,该服务是某些内部 DNS 区域 [未在公共互联网中使用] 的权威 DNS 服务器。该服务器还用作某些内部用户的递归名称服务器。
答案1
从你所说的情况来看,我推测这是一个递归服务器,而不是权威性服务器。
从给出的详细信息来看,您应该不会遇到任何问题。您的网络显然支持 > 512 字节的响应,并且您的服务器支持 EDNS0。
无论如何,只有当您的服务器向设置了位DO(DNSSEC OK)的外部服务器发送查询时,您才会遇到问题。
如果没有该标志,那么到 5 月 5 日,来自根服务器(以及任何其他权威服务器)的所有响应看起来都会与 DNSSEC 之前完全相同。
您唯一应该检查的其他事情是您的网络是否允许出站 DNS 查询通过 TCP 进行 - 因此不要在防火墙上阻止出站 tcp/53。
如果您需要更多帮助,请提出。我是与此问题相关的多份 ICANN 和 IETF 文档的作者。
答案2
我认为只有当以下两件事适用于你的情况时你才需要担心:
使用根提示服务器而不是转发器
您的防火墙阻止大于 512 字节的 DNS UDP 数据包
我知道我的防火墙不支持大于 512 字节的 DNS UDP 数据包,因此我已从使用根提示服务器切换到使用 Google 的公共 DNS 服务器进行外部 DNS 查询。
答案3
我认为最好的办法是你尝试一下 Ripe 解释的测试这里,然后您可能会看到是否需要在服务器或防火墙上执行任何操作。在我看来,其他一切都只是猜测。
如果您的用户自己通过路由器连接,他们也应该尝试测试 DNS 查询是否有效。我有一个 Fritz 路由器,我需要应用一种解决方法,因为路由器仅支持最多 512 字节的 DNS 包。