Is there a way to disable recursive queries by the DNS hosted on the server while still allowing for DNS queries originating on the server to work?
Não com o servidor DNS da Microsoft, não existe.
Com o servidor DNS do ISC, BIND, pode-se aceitar coisas com visualizações. O servidor DNS da Microsoft não possui esse mecanismo. Portanto, para qualquer instância do servidor DNS da Microsoft, deve-se escolher se é um servidor DNS público conteúdo ou um servidor DNS proxy local local. Ele não pode evitar coisas e fingir ser tipos diferentes de servidor para diferentes clientes DNS.
O serviço / ferramenta de testes de segurança está correto. É a prática recomendada para não fornecer serviço de proxy - qualquer serviço de proxy: seja serviço de proxy HTTP, serviço de proxy DNS ou serviço de Envio de SMTP - para o resto da Internet fora do próprio site. Você muito deve ter servidores separados : um servidor DNS de conteúdo que publica seus dados públicos de DNS, sobre seus nomes de domínio que você registrou, para todos na Internet; e um servidor DNS proxy local, que faz o trabalho pesado de resolução de consulta em nome dos computadores da sua organização, que só é acessível para máquinas na sua organização / na sua LAN. Com o servidor DNS da Microsoft, isso não é particularmente fácil.
Seria especialmente difícil se sua máquina também fosse um controlador de domínio. Você afirma que esta máquina é diretamente acessível de toda a Internet. Se tal máquina é um controlador de domínio, você deve repensar sua organização de rede agora . Você estaria expondo uma enorme quantidade de serviços internos para o público, não apenas o serviço de proxy DNS. Então, vamos trabalhar na suposição de que isso não é um controlador de domínio.
Como não é um controlador de domínio e é apenas um servidor membro , você não tem o requisito de que o cliente DNS na máquina use o servidor DNS da máquina (ou, inicialmente, o servidor DNS de outro controlador de domínio) ) para o serviço DNS proxy, que é o caso dos controladores de domínio. Se você tivesse, você não seria capaz de desativar o serviço DNS proxy no servidor DNS da máquina. Felizmente, não é um controlador de domínio, e seu cliente DNS pode usar alguma outra máquina para o serviço de DNS proxy, não em si.
O cliente DNS na máquina do servidor membro ainda precisa usar um servidor DNS proxy interno . Você não pode simplesmente apontá-lo em algum servidor DNS externo, como os fornecidos pelo seu provedor, pelo Google ou por qualquer outra parte que não saiba todos os dados do DNS que o Active Directory está usando em sua LAN . Você pode apontar o cliente DNS da máquina no servidor DNS em um ou mais dos seus controladores de domínio. Isto é bastante simples, e é o que você está - afinal de contas - já fazendo em todas as suas estações de trabalho em sua LAN. O cliente DNS em seu servidor membro precisa apenas ser configurado como os clientes DNS em todas as suas estações de trabalho são .
Dado que o cliente DNS da sua máquina não está usando o servidor DNS em execução na máquina para o serviço DNS proxy, basta configurar o servidor DNS da Microsoft para não fornecer serviço DNS proxy de qualquer formulário a ninguém.
Outras leituras