Назад | Перейти на главную страницу

DNS-сервер Windows 2003 и DNS SEC

у меня есть почти готовый сервер Windows 2003, который также является сервером доменных имен для некоторых пользователей. должен ли я беспокоиться о 5 маяразвёртывание dnssec на корневых серверах имён?

я уже бегал:

dnscmd /Config /EnableEDnsProbes 1

большое спасибо!

пс. мои брандмауэры / сетевая инфраструктура не блокируют udp-пакеты> 512B

мой результат из спелый тест:

Заявленный размер буфера: 1280 байт

Измеренный размер буфера: 1259 байт

EDNS включен: да

DNSSEC включен: нет

В вашем преобразователе не включен DNSSEC.

Примечание: всегда будет разница между объявленным и измеренным размером буфера из-за используемого алгоритма. Однако эта разница не должна превышать 300 байт.

пс # 2

это активный сервер каталогов, поэтому у него есть служба DNS, которая является авторитетным сервером DNS для некоторой внутренней зоны DNS [не используется в общедоступном Интернете]. этот сервер также используется как рекурсивный сервер имен для некоторых внутренних пользователей.

Думаю, лучше всего было бы вам попробовать тесты, - объясняет Рип Вот, тогда вы можете увидеть, нужно ли вам что-либо делать на своем сервере или в брандмауэрах. Все остальное, с моей точки зрения, было бы предположением.

Если ваши пользователи сами подключены к маршрутизатору, им также следует попробовать тесты, будут ли работать DNS-запросы. У меня есть маршрутизатор Fritz, и мне нужно было применить обходной путь, поскольку маршрутизатор поддерживает только пакеты DNS размером до 512 байт.

Я думаю, вам следует беспокоиться только в том случае, если к вашей ситуации применимы две вещи:

  1. Вы используете корневые серверы подсказок вместо серверов пересылки

  2. Ваш брандмауэр блокирует UDP-пакеты DNS размером более 512 байт.

Я знаю, что мои брандмауэры не поддерживают UDP-пакеты DNS размером более 512 байт, поэтому я переключился с использования корневых серверов подсказок на использование общедоступных DNS-серверов Google для внешних DNS-запросов.

Из того, что вы сказали, я предполагаю, что это рекурсивный сервер, а не авторитетный сервер.

Судя по приведенным подробностям, у вас не должно возникнуть проблем. Ваша сеть, по-видимому, поддерживает ответы> 512 байт, а ваш сервер поддерживает EDNS0.

В любом случае у вас возникнут проблемы только в том случае, если ваш сервер будет отправлять запросы на внешние серверы, у которых есть DO установлен бит (DNSSEC OK).

Без этого флага все ответы от корневых серверов (и любых других авторитетных серверов в этом отношении) будут выглядеть точно так же с 5 мая, как и до DNSSEC.

Единственное, что вы должны проверить, это то, что ваша сеть разрешает исходящим DNS-запросам работать через TCP, поэтому никогда не блокируйте исходящий tcp / 53 на вашем брандмауэре.

Если вам нужна дополнительная помощь, спросите. Я автор различных документов ICANN и IETF по этому вопросу.