我有两个域控制器,都是 DNS 服务器,并且我为它们都设置了转发器(如下图所示)
但我没有在两台服务器上禁用递归(请参见下面的屏幕截图)
有一个建议是禁用 DNS 递归。我认为如果我禁用 DNS 递归,它会影响性能,但我也希望获得最佳安全性。请告诉我我应该怎么做?我应该禁用 DNS 递归吗?
答案1
取决于您的业务需求。如果您的客户端连接到此 DNS 服务器并向其请求不在您的网络上的名称,例如 google.com、facebook.com、yahoo.com、whitehouse.gov 等...由于您的 DNS 服务器不具有这些域的权威性,因此您必须使用递归,否则名称解析将失败,无法解析未托管在您的 DNS 服务器上的外部域名。大多数工作场所都允许访问互联网,但是,如果您处于一个控制非常严格的网络中(在这种情况下,如果您需要特别的安全性,您无论如何都不应该连接到互联网),禁用递归将阻止对您的 DNS 服务器不具有权威性的名称进行名称解析。还值得注意的是,如果您禁用递归,则添加转发器是没有意义的,因为它们不会被使用。(如果禁用递归,根提示也不会使用。)
答案2
在多数情况下:
坏的:
- 递归名称服务器公开可用。
美好的:
- 特定域名的名称服务器公开可用。
- 私人可用的递归名称服务器(本地网络)。
为了确保递归名称服务器不公开可用,我建议让 DNS 服务器/服务仅侦听私有地址,并阻止从任何公共接口发送到 DNS 端口 (53) 的流量。同时执行这两个操作可确保单个意外配置更改不会使其公开可用。
答案3
除非您需要使用转发器,否则您不应该使用转发器。最好让您的 DC 解析内部和外部。这将为您提供最佳性能。您需要使用转发器的唯一原因是您只有一个 DNS 服务器,您的安全要求非常严格,您的 DC 没有 Internet 连接,或者您的 DNS 服务器工作过度。如果您不使用转发器,您的 DC 将使用 ROOT 域服务器记录进行解析(需要 DC Internet 连接)
您不应为每个 DC 设置一个转发器以指向彼此。您的客户端应在其 IP 配置中列出两个 DNS 服务器。如果这样做,客户端将找到它们。如果没有,您应该修复配置,以便两个 DNS 服务器都列在您的客户端配置中 (Ipconfig /all)