在 Windows Server 2008 中,如何禁用递归 DNS 并继续浏览互联网?

在 Windows Server 2008 中,如何禁用递归 DNS 并继续浏览互联网?

我有一台配置为使用 vpn 和远程桌面的 win2008 服务器。我的主机提供商要求我删除递归 DNS。

如果转到 dns 角色 / 组 / 属性 / 高级并单击禁用递归,之后我将失去互联网访问权限。我无法导航。

我换成了 Bind 但遇到了同样的问题。

在此服务器中,我需要访问互联网来提供一些 Web 服务,因此我不能就这样置之不理。如何关闭递归 DNS 并仍保留浏览互联网的能力?

答案1

默认情况下,DNS 服务器会监听所有接口/IP 地址。大多数设置为允许递归查询的 DNS 服务器不应监听公共接口/IP 地址。这样做会导致它们被用于 DNS 应用攻击(一种 DDOS),参考:US-CertDNS 放大攻击

将 DNS 服务器配置为仅监听内部地址。

dnscmd <ServerName> /ResetListenAddresses [<ListenAddress> ...]

求助:

dnscmd <ServerName> /ResetListenAddresses /help 

TechNet:限制 DNS 服务器仅侦听选定的地址

答案2

您需要配置货运代理. 引用链接文章的内容:

  • 单击“开始”,单击“运行”,键入 dnsmgmt.msc,然后按 ENTER。DNS 管理器控制台将打开。
  • 在控制台树中,单击要配置的 DNS 服务器的名称。
  • 在“操作”菜单上,单击“属性”。
  • 单击转发器选项卡。
  • 修改转发器列表如下:
    • 要将转发器添加到列表,请单击编辑,指定要添加到列表的服务器的名称和 IP 地址,然后单击确定。
    • 要修改列表中的转发器,请单击编辑,单击要配置的转发器,修改转发器的名称或 IP 地址,然后单击确定。
    • 要从列表中删除转发器,请单击编辑,单击要删除的转发器,清除 IP 地址字段,然后单击确定。

您还需要阻止从内部域外部访问您服务器上的 DNS。

笔记:如果您的服务器确实需要执行 DNS 递归(例如 - 您有需要解析外部 DNS 的应用程序),您可以交替禁用和/或限制允许传入 DNS 请求的本地 Windows 防火墙规则。

我不知道您的网络上还有什么,但您可以:

在此处输入图片描述

  • 告诉您的 DNS 服务器要回答 DNS 查询的 IP 地址。这可以在服务器属性中找到,就像上面的信息一样,但在“接口”选项卡上。

在此处输入图片描述

  • 在外部防火墙处阻止 DNS。

相关内容