Назад | Перейти на главную страницу

Как в Windows Server 2008 отключить рекурсивный DNS и продолжить работу в Интернете?

У меня есть один сервер win2008, настроенный на использование vpn и удаленного рабочего стола. Мой хост-провайдер потребовал удалить рекурсивный DNS.

Если перейти в dns role / group / properties / advanced и нажать «Отключить рекурсивный», я потеряю доступ в Интернет. Я не могу ориентироваться.

Я перешел на Bind, но возникла та же проблема.

На этом сервере мне нужен доступ в Интернет для некоторых веб-сервисов, поэтому я не могу просто так оставить. Как отключить рекурсивный DNS и при этом сохранить возможность навигации в Интернете?

Вам необходимо настроить экспедиторы. Цитата из связанной статьи:

  • Нажмите кнопку Пуск, выберите команду Выполнить, введите dnsmgmt.msc и нажмите клавишу ВВОД. Откроется консоль диспетчера DNS.
  • В дереве консоли щелкните имя DNS-сервера, который вы хотите настроить.
  • В меню «Действие» выберите «Свойства».
  • Щелкните вкладку Серверы пересылки.
  • Измените список серверов пересылки следующим образом:
    • Чтобы добавить сервер пересылки в список, нажмите «Изменить», укажите имя и IP-адрес сервера, который нужно добавить в список, а затем нажмите «ОК».
    • Чтобы изменить сервер пересылки в списке, нажмите «Изменить», выберите сервер пересылки, который вы хотите настроить, измените имя или IP-адрес сервера пересылки, а затем нажмите «ОК».
    • Чтобы удалить сервер пересылки из списка, нажмите «Изменить», выберите сервер пересылки, который вы хотите удалить, очистите поле IP-адреса и нажмите «ОК».

Вам также необходимо заблокировать доступ к DNS на вашем сервере извне вашего внутреннего домена.

Примечание: Если у вашего сервера есть законная потребность в рекурсии DNS (например, у вас есть приложения, которым необходимо разрешать внешний DNS), вы можете альтернативно отключить и / или ограничить локальное правило брандмауэра Windows, которое разрешает входящие запросы DNS.

Я не знаю, что еще есть в вашей сети, но вы можете:

  • Сообщите своему DNS-серверу, с каких IP-адресов следует отвечать на DNS-запросы. Это находится в свойствах сервера, как и информация выше, но на вкладке Интерфейсы.

  • Заблокируйте DNS на внешнем брандмауэре.

По умолчанию DNS-сервер прослушивает все интерфейсы / IP-адреса. Большинство DNS-серверов, разрешающих рекурсивные запросы, не должны прослушивать общедоступный интерфейс / IP-адрес. Это позволяет использовать их в атаке DNS-приложения (тип DDOS), ссылка: US-Cert Атаки с усилением DNS.

Настройте DNS-сервер на прослушивание только внутренних адресов.

dnscmd <ServerName> /ResetListenAddresses [<ListenAddress> ...]

За помощью:

dnscmd <ServerName> /ResetListenAddresses /help

TechNet: Ограничить DNS-сервер прослушиванием только выбранных адресов