У меня есть 2 DNS-сервера Windows Server 2008 R2, которые совместно используют домен xyz.wan и находятся в подсети 192.168.50.0/24 моей сети. Через IPSec VPN между узлами подключены некоторые другие подсети (192.168.51.0/24, .52.0 / 24 и т. Д.), Которые имеют свои собственные зоны обратного просмотра в Microsoft DNS.
Недавно мои серверы начали вести себя странно, разрешая ВСЕ адреса НЕ в DNS (например, какой-то статический клиент на удаленном сайте без записи DNS) на собственное имя server1.xyz.wan вместо того, чтобы показывать IP в Windows-perfmon.
Теперь я узнал, что если я выполняю nslookup на одном из двух серверов и ввожу какой-то IP, который я даже не использую, например 192.168.111.111, другой сервер отвечает «localhost».
Разрешение DNS работает как прелесть для всего в домене. Я также отслеживал пакеты с помощью Wireshark:
192.168.50.161 192.168.50.163 DNS 88 Standard query PTR 111.111.168.192.in-addr.arpa
192.168.50.163 192.168.50.161 DNS 111 Standard query response PTR localhost
Может ли кто-нибудь указать мне правильное направление того, что здесь происходит? Я просто не могу этого понять.
Я ожидал, что это будет запись с подстановочными знаками в обратной зоне. Либо это обратная зона, которой вы управляете, либо ваши запросы просачиваются на ваши вышестоящие серверы имен (возможно, ваш интернет-провайдер), и ответ приходит оттуда.
Если бы запись с подстановочными знаками была на вашем конце, вы бы нашли что-то вроде следующего в наиболее подходящих X.168.192.in-addr.arpa. зона:
* IN PTR localhost.
Поскольку вы, вероятно, заметили это, более вероятно, что 1) соответствующий in-addr.arpa. зона не существует для рассматриваемого IP-адреса, и 2) запрос просачивается на вышестоящие серверы имен. Вы можете подтвердить, так ли это, выполнив странные обратные запросы непосредственно против них. (в обход ваших локальных серверов имен)
Это не первый случай, когда у интернет-провайдера есть необычные данные обратного DNS, которые он без надобности раскрывает своим клиентам.