如何限制Windows 2003 AD DNS服务器的TCP监听地址

如何限制Windows 2003 AD DNS服务器的TCP监听地址

我有一台 Windows 2003 AD 集成 DNS 服务器,我只想监听适配器 IP 地址上的 DNS 流量。我已按照technet 文章但是。在我完成这些操作并重置 DNS 服务器后,我看到 UDP 仅在配置的接口上,但 TCP 仍在所有接口上监听。

以下是输出netstat -aon | find ":53 "

TCP    0.0.0.0:53             0.0.0.0:0              LISTENING       8040
UDP    127.0.0.1:53           *:*                                    8040
UDP    192.168.1.2:53         *:*                                    8040
UDP    192.168.2.2:53         *:*                                    8040
UDP    192.168.3.1:53         *:*                                    8040

以下是我的 DNS 配置的屏幕截图:

在此处输入图片描述

编辑:明确地说,我的最终目标是在服务器上配置 DNS 代理。我想将其绑定到 127.0.0.7,但我无法做到,因为 Windows DNS 服务器已在侦听该地址。

答案1

我不知道 DNS 服务器中是否有任何常规功能可以满足您的要求。我会考虑使用 Windows 防火墙规则。

编辑:

我刚刚在 Windows Server 2003 上启动 DNS 服务器服务之前测试了绑定到 TCP 端口 53,得到了一个完全出乎意料的结果。

我停止了 DNS 服务器服务,然后将netcat侦听器绑定到 0.0.0.0:53。我启动了第二个netcat实例,该实例绑定到服务器的 LAN IP 地址 TCP 端口 53。我检查了命令的输出netstat -a -n -o,发现我的netcat进程按预期进行侦听。然后我启动了 DNS 服务器进程并netstat再次检查输出。

令我惊讶的是,我发现 PIDdns.exe被列为拥有对 127.0.0.1:53(这是我所期望的)和服务器 LAN IP 地址 TCP 端口 53 的监听绑定,这是我没有想到的。我的netcat进程仍然显示绑定到服务器的 LAN IP 地址 TCP 端口 53!是的——看起来两个进程都有相同的监听绑定。

当这种“双重绑定”情况生效时,我发现我的netcat进程(首先启动)似乎接收到了传入的 TCP 连接,但我没有进行足够的测试来证明我的结果是一致的。

我觉得你陷入困境了。

相关内容