В Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries групповая политика была введена в Windows Vista и блокирует поведение дочерних поддоменов, тестируемых по суффиксу домена, например:
ping example будет проверять example, но также example.mydnssuffix.local, тем не мение ping example.tld будет проверять example.tld, но нет example.tld.mydnssuffix.local.
Поскольку по умолчанию это отключено, я предполагаю, что включение этого параметра связано с проблемами безопасности. Кто-нибудь знает, каковы будут эти последствия для безопасности?
DNS-клиенты, которые тратят больше времени на добавление суффиксов к неоднозначным именам и повторные попытки поиска, займут больше времени, прежде чем откажутся. Это может вызвать значительное замедление работы приложений, выполняющих много DNS-запросов.
Это также может создать угрозу безопасности, если DNS-клиенты ошибочно разрешают имя, которое находится под контролем внешнего злонамеренного объекта. Добавление суффиксов DNS в основном противоположно передаче, которая может вызывать аналогичные проблемы. Я скопирую пример с веб-сайта Windows IT Pro (который в основном касается передачи полномочий, но также в некоторой степени относится к добавлению суффиксов):
Основной суффикс домена присоединенного к домену компьютера - mycompany.fl.us (mycompany находится во Флориде, отсюда расширение fl.us) и пытается подключиться к mailserver1. В этом примере клиент DNS попытается разрешить mailserver1.mycompany.fl.us и mailserver1.fl.us. Фамилия в этом списке, mailserver1.fl.us, не контролируется моей компанией. Если злоумышленник зарегистрировал mailserver1.fl.us в DNS, разрешение имени будет успешным, компьютер, присоединенный к домену, попытается подключиться к нему, и злоумышленник может подделать внутренний сервер.
Так зачем тебе его включать? Возможно, вы захотите предоставить DNS-клиентам дополнительную гибкость, которая, как мы надеемся, сможет разрешать неоднозначные имена. Но теоретически это может привести к проблемам с безопасностью. Таким образом, администратор должен решить, что больше подходит для его или ее среды.
Дальнейшее чтение:
И:
http://windowsitpro.com/networking/whats-dns-name-devolution