Назад | Перейти на главную страницу

Стоит ли отключить рекурсию DNS?

У меня есть два контроллера домена, оба являются DNS-серверами, и я установил пересылку для обоих (как показано ниже на экране печати)

но я не отключил рекурсию на обоих серверах (см. экран печати ниже)

есть одна рекомендация отключить рекурсию DNS. Я думаю, что если я отключу рекурсию DNS, это повлияет на производительность, но я также хочу иметь лучшую безопасность. Пожалуйста, дайте мне знать, что мне делать? я должен отключить рекурсию DNS?

Зависит от потребностей вашего бизнеса. Если у вас есть клиенты, подключающиеся к этому DNS-серверу и запрашивающие у него имена, которых нет в вашей сети, такие как google.com, facebook.com, yahoo.com, whitehouse.gov и т. Д., Поскольку ваш DNS-сервер не является авторитетным для этих доменов вы должны использовать рекурсию, иначе разрешение имен не удастся для внешних доменных имен, не размещенных на вашем DNS-сервере. Однако на большинстве рабочих мест доступ в Интернет разрешен, если вы находитесь в очень жестко контролируемой сети (в этом случае, если вам нужна чрезвычайная безопасность, вам все равно не следует подключаться к Интернету), отключение рекурсии предотвратит разрешение имен имен, которые ваш DNS-сервер не является авторитетным для. Также стоит отметить, что если вы отключите рекурсию, то нет смысла добавлять серверы пересылки, поскольку они не будут использоваться. (Корневые подсказки также не будут использоваться, если рекурсия отключена.)

Если вам НЕ НУЖНО использовать пересылки, вы не должны. Лучше всего позволить вашему DC разрешать внутренние и внешние. Это даст вам максимальную производительность. Единственная причина (-ы), по которой вы хотели бы иметь пересылки, - это если у вас только один DNS-сервер, у вас очень строгие требования к безопасности, ваш DC не имеет подключения к Интернету или ваши DNS-серверы перегружены. Если вы не используете серверы пересылки, ваш DC будет использовать записи сервера домена ROOT для разрешения (требуется подключение DC к Интернету)

Вы НЕ должны устанавливать пересылку для каждого DC, чтобы он указывал друг на друга. Ваши клиенты должны указать оба DNS-сервера в своей IP-конфигурации. Если они это сделают, клиент их найдет. Если это не так, вам следует исправить конфигурацию, чтобы оба DNS-сервера были перечислены в конфигурации вашего клиента (Ipconfig / all).

В большинстве случаев:

Плохой:

  1. Общедоступный рекурсивный сервер имен.

Хорошо:

  1. Сервер имен для определенных доменов общедоступен.
  2. Рекурсивный сервер имен доступен в частном порядке (локальная сеть).

Чтобы убедиться, что рекурсивный сервер имен недоступен публично, я бы предложил сделать так, чтобы DNS-сервер / служба прослушивали только частные адреса, а трафик, отправляемый на порт DNS (53) из любого общедоступного интерфейса, блокируется. Выполнение обоих действий гарантирует, что одно случайное изменение конфигурации не сделает ее общедоступной.