我正在试验 DNS 服务器解析 DENY 策略,但它没有按预期工作。以下是一般思路:
- 一台没有特殊设置的测试非域成员(没有特殊设置/软件的 Windows PC)连接到启用了 DHCP 的网络。
- Windows DHCP 服务器检测到非域成员 PC 已请求 DHCP 租约。
- Windows DHCP 服务器创建‘DENY’DNS 服务器查询解析策略,以阻止非域成员 PC 对内部 DNS 服务器进行 DNS 查询。
- 外部防火墙阻止了到端口 53 的互联网连接,使得传统的外部 DNS 查询变得不可能。
预期结果是非域成员 PC 无法向内部和外部 DNS 服务器发出 DNS 查询。这是理论上的,但实际上并非如此。
实际情况是,一开始非域成员 PC 无法使用 Web 浏览器访问互联网。然后,大约半分钟后,PC 突然可以访问。但是,对内部 DNS 服务器的名称查询仍然被阻止,因为 PC 上的 nslookup 失败了,我可以在服务器日志中看到 DNS 查询被阻止了。
我推测这台 PC 可以通过其他机制(可能是 DNS 隧道)执行名称解析。值得一提的是,这台 PC 只是一台普通 PC,采用默认设置,没有安装任何特殊软件。
有人能肯定地说出 PC 端到底发生了什么吗?
有没有办法阻止发生的一切,并完全阻止来自非域成员的名称解析请求?我可以访问 Windows DNS 和 DHCP 服务器以及防火墙。
答案1
但说真的,现在已经是 2023 年了。即使是最便宜的交换机也支持 RADIUS。不要部署临时解决方案。配置 802.1x 端口安全性。