Windows 2003 DNS 服务器和 DNS SEC

Question 1

从你所说的情况来看，我推测这是一个递归服务器，而不是权威性服务器。

从给出的详细信息来看，您应该不会遇到任何问题。您的网络显然支持 > 512 字节的响应，并且您的服务器支持 EDNS0。

无论如何，只有当您的服务器向设置了位DO（DNSSEC OK）的外部服务器发送查询时，您才会遇到问题。

如果没有该标志，那么到 5 月 5 日，来自根服务器（以及任何其他权威服务器）的所有响应看起来都会与 DNSSEC 之前完全相同。

您唯一应该检查的其他事情是您的网络是否允许出站 DNS 查询通过 TCP 进行 - 因此不要在防火墙上阻止出站 tcp/53。

如果您需要更多帮助，请提出。我是与此问题相关的多份 ICANN 和 IETF 文档的作者。

Answer

从你所说的情况来看，我推测这是一个递归服务器，而不是权威性服务器。

从给出的详细信息来看，您应该不会遇到任何问题。您的网络显然支持 > 512 字节的响应，并且您的服务器支持 EDNS0。

无论如何，只有当您的服务器向设置了位DO（DNSSEC OK）的外部服务器发送查询时，您才会遇到问题。

如果没有该标志，那么到 5 月 5 日，来自根服务器（以及任何其他权威服务器）的所有响应看起来都会与 DNSSEC 之前完全相同。

您唯一应该检查的其他事情是您的网络是否允许出站 DNS 查询通过 TCP 进行 - 因此不要在防火墙上阻止出站 tcp/53。

如果您需要更多帮助，请提出。我是与此问题相关的多份 ICANN 和 IETF 文档的作者。

Question 2

我认为只有当以下两件事适用于你的情况时你才需要担心：

我知道我的防火墙不支持大于 512 字节的 DNS UDP 数据包，因此我已从使用根提示服务器切换到使用 Google 的公共 DNS 服务器进行外部 DNS 查询。

Answer

我认为只有当以下两件事适用于你的情况时你才需要担心：

我知道我的防火墙不支持大于 512 字节的 DNS UDP 数据包，因此我已从使用根提示服务器切换到使用 Google 的公共 DNS 服务器进行外部 DNS 查询。

Question 3

我认为最好的办法是你尝试一下 Ripe 解释的测试这里，然后您可能会看到是否需要在服务器或防火墙上执行任何操作。在我看来，其他一切都只是猜测。

如果您的用户自己通过路由器连接，他们也应该尝试测试 DNS 查询是否有效。我有一个 Fritz 路由器，我需要应用一种解决方法，因为路由器仅支持最多 512 字节的 DNS 包。

Answer

我认为最好的办法是你尝试一下 Ripe 解释的测试这里，然后您可能会看到是否需要在服务器或防火墙上执行任何操作。在我看来，其他一切都只是猜测。

如果您的用户自己通过路由器连接，他们也应该尝试测试 DNS 查询是否有效。我有一个 Fritz 路由器，我需要应用一种解决方法，因为路由器仅支持最多 512 字节的 DNS 包。

相关内容