Я работаю с изолированной / закрытой глобальной сетью с несколькими резервными контроллерами домена, которые также действуют как DNS-серверы. Мой вопрос, надеюсь, довольно простой, но мне, кажется, трудно найти в Google что-либо, что применимо к нашей настройке.
Есть ли оптимальная практика работы с внешними DNS-запросами в Интернете, поступающими от систем в изолированной сети?
Для фона:
Недавно мы обнаружили, что большая часть пропускной способности нашей сети используется DNS, в частности трафик UDP на порте 53 между различными DNS-серверами. Мы можем проверить это, включив ведение журнала отладки DNS, при котором мы видим сотни мегабайт трафика DNS каждый час на всех наших DNS-серверах. Мы знаем, что главным виновником является протокол McAfee GTI / Artemis, в котором они пытаются отправить хешированные данные файла на avts или avqs.mcafee.com через DNS-запросы. Мы решаем проблему McAfee, имея дело с программным обеспечением McAfee в нашей сети, но меня беспокоило то, как DNS-запросы пересылаются между нашими разными DNS-серверами. Похоже, что наши DNS-серверы просто перенаправляют запросы любого внешнего сайта на другой DNS-сервер в нашей сети. Этот процесс длится вечно или, по крайней мере, очень долго (более 30 минут для одного конкретного запроса, который я отслеживал в журналах отладки DNS). Запрос отправляется с Сервер 1 -> Сервер 2 -> Сервер 3 -> Сервер 1 и т. Д. Я пытаюсь собрать некоторые данные, чтобы предложить изменения людям, отвечающим за управление конфигурацией, потому что сейчас кажется, что что-то явно не настроен должным образом.
Используя Windows Server 2008 R2.
Если все DNS-серверы являются только внутренними и зоны реплицируются, у вас не должно быть серверов пересылки и корневых ссылок, внешние поисковые запросы получат либо NXDOMAIN, либо SERVFAIL один раз от своего локального преобразователя (вашего DC).
Видеть Отключить рекурсию
Если проблема заключается в том, что программа пытается решить avqs.mcafee.com, создайте зону для avqs.mcafee.com и разрешите трафик в черный ящик.