我们的 DNS 基础设施分为几个名称服务器、中央服务器(Bind)和辅助服务器(如 AD)。
禁用递归会有效地禁用委派和转发(至少在 Bind 中)。
有什么选择?
成为 AD 区域的从属?当然,我们可以设置中央实例不具有权威性的区域传输。
使用除 Bind 之外的其他名称服务器软件?本质上,我希望指定一些区域/域,以便它能够委派/递归。例如能够指定“目标” ACL 和相关操作。
成为根区域。问题在于存在例外:某些客户端仍然需要递归,尽管仅适用于某些域/区域。
目标——如果您想知道的话——是安全。如果发生内部感染,许多 C&C 服务器都通过 DNS 进行访问,而 DNS 大多未经过滤。