我有一台配置为使用 vpn 和远程桌面的 win2008 服务器。我的主机提供商要求我删除递归 DNS。
如果转到 dns 角色 / 组 / 属性 / 高级并单击禁用递归,之后我将失去互联网访问权限。我无法导航。
我换成了 Bind 但遇到了同样的问题。
在此服务器中,我需要访问互联网来提供一些 Web 服务,因此我不能就这样置之不理。如何关闭递归 DNS 并仍保留浏览互联网的能力?
答案1
默认情况下,DNS 服务器会监听所有接口/IP 地址。大多数设置为允许递归查询的 DNS 服务器不应监听公共接口/IP 地址。这样做会导致它们被用于 DNS 应用攻击(一种 DDOS),参考:US-CertDNS 放大攻击。
将 DNS 服务器配置为仅监听内部地址。
dnscmd <ServerName> /ResetListenAddresses [<ListenAddress> ...]
求助:
dnscmd <ServerName> /ResetListenAddresses /help
TechNet:限制 DNS 服务器仅侦听选定的地址
答案2
您需要配置货运代理. 引用链接文章的内容:
- 单击“开始”,单击“运行”,键入 dnsmgmt.msc,然后按 ENTER。DNS 管理器控制台将打开。
- 在控制台树中,单击要配置的 DNS 服务器的名称。
- 在“操作”菜单上,单击“属性”。
- 单击转发器选项卡。
- 修改转发器列表如下:
- 要将转发器添加到列表,请单击编辑,指定要添加到列表的服务器的名称和 IP 地址,然后单击确定。
- 要修改列表中的转发器,请单击编辑,单击要配置的转发器,修改转发器的名称或 IP 地址,然后单击确定。
- 要从列表中删除转发器,请单击编辑,单击要删除的转发器,清除 IP 地址字段,然后单击确定。
您还需要阻止从内部域外部访问您服务器上的 DNS。
笔记:如果您的服务器确实需要执行 DNS 递归(例如 - 您有需要解析外部 DNS 的应用程序),您可以交替禁用和/或限制允许传入 DNS 请求的本地 Windows 防火墙规则。
我不知道您的网络上还有什么,但您可以:
- 告诉您的 DNS 服务器要回答 DNS 查询的 IP 地址。这可以在服务器属性中找到,就像上面的信息一样,但在“接口”选项卡上。
- 在外部防火墙处阻止 DNS。