у меня есть почти готовый сервер Windows 2003, который также является сервером доменных имен для некоторых пользователей. должен ли я беспокоиться о 5 маяразвёртывание dnssec на корневых серверах имён?
я уже бегал:
dnscmd /Config /EnableEDnsProbes 1
большое спасибо!
пс. мои брандмауэры / сетевая инфраструктура не блокируют udp-пакеты> 512B
мой результат из спелый тест:
Заявленный размер буфера: 1280 байт
Измеренный размер буфера: 1259 байт
EDNS включен: да
DNSSEC включен: нет
В вашем преобразователе не включен DNSSEC.
Примечание: всегда будет разница между объявленным и измеренным размером буфера из-за используемого алгоритма. Однако эта разница не должна превышать 300 байт.
пс # 2
это активный сервер каталогов, поэтому у него есть служба DNS, которая является авторитетным сервером DNS для некоторой внутренней зоны DNS [не используется в общедоступном Интернете]. этот сервер также используется как рекурсивный сервер имен для некоторых внутренних пользователей.
Думаю, лучше всего было бы вам попробовать тесты, - объясняет Рип Вот, тогда вы можете увидеть, нужно ли вам что-либо делать на своем сервере или в брандмауэрах. Все остальное, с моей точки зрения, было бы предположением.
Если ваши пользователи сами подключены к маршрутизатору, им также следует попробовать тесты, будут ли работать DNS-запросы. У меня есть маршрутизатор Fritz, и мне нужно было применить обходной путь, поскольку маршрутизатор поддерживает только пакеты DNS размером до 512 байт.
Я думаю, вам следует беспокоиться только в том случае, если к вашей ситуации применимы две вещи:
Вы используете корневые серверы подсказок вместо серверов пересылки
Ваш брандмауэр блокирует UDP-пакеты DNS размером более 512 байт.
Я знаю, что мои брандмауэры не поддерживают UDP-пакеты DNS размером более 512 байт, поэтому я переключился с использования корневых серверов подсказок на использование общедоступных DNS-серверов Google для внешних DNS-запросов.
Из того, что вы сказали, я предполагаю, что это рекурсивный сервер, а не авторитетный сервер.
Судя по приведенным подробностям, у вас не должно возникнуть проблем. Ваша сеть, по-видимому, поддерживает ответы> 512 байт, а ваш сервер поддерживает EDNS0.
В любом случае у вас возникнут проблемы только в том случае, если ваш сервер будет отправлять запросы на внешние серверы, у которых есть DO
установлен бит (DNSSEC OK).
Без этого флага все ответы от корневых серверов (и любых других авторитетных серверов в этом отношении) будут выглядеть точно так же с 5 мая, как и до DNSSEC.
Единственное, что вы должны проверить, это то, что ваша сеть разрешает исходящим DNS-запросам работать через TCP, поэтому никогда не блокируйте исходящий tcp / 53 на вашем брандмауэре.
Если вам нужна дополнительная помощь, спросите. Я автор различных документов ICANN и IETF по этому вопросу.