У меня есть клиент, у которого есть устройство Cisco ASA 5505. Я вообще не знаком с этими устройствами.
Проблема клиента заключается в том, что он разрешает исходящий трафик со старого DNS-сервера (10.236.72.100), но не с нового DNS-сервера (10.236.72.3).
В настоящее время у меня есть настройка пересылки на новом сервере для пересылки DNS-запросов на старый сервер.
Старый сервер = Windows Server 2003 Новый сервер = Windows Server 2008 R2
Насколько я могу судить, проблема связана с устройством Cisco. Может кто-нибудь помочь?
Ваш старый DNS-сервер, вероятно, пересылает запросы на один из DNS-серверов в dns_servers
группа объектов и разрешенная этой строкой
access-list inside_access_in extended permit object-group TCPUDP any object-group dns_servers eq domain
Ваш новый сервер, вероятно, действует как рекурсивный DNS-сервер и пытается отправлять запросы напрямую на корневые серверы имен, серверы TLD и т. Д. Если вы хотите, чтобы ваш новый сервер вел себя как старый, перенаправьте его запросы на один из серверов в этом группа объектов.
object-group network dns_servers
network-object host 10.1.224.10
network-object host 10.2.191.51
Если вы хотите, чтобы ваш новый DNS-сервер работал как рекурсивный сервер, добавьте эту строку в конфигурацию ASA:
access-list inside_access_in extended permit object-group TCPUDP host 10.236.72.3 any eq domain
В Windows 2008 есть проблема с автоматическим масштабированием окна TCP, которая нарушает работу брандмауэров, использующих отслеживание соединений (почти все это делают).
Проблема и способ ее устранения описаны здесь.