Posso forçar um encaminhador condicional de DNS do Windows Server 2008 a usar somente TCP?

5

Configuramos um túnel para uma empresa parceira. Parte de sua política de segurança insiste que nossas consultas ao DNS são somente TCP (o UDP não será roteado).

Podemos usar dig +tcp e verificar se as consultas foram resolvidas corretamente, mas nossos servidores DNS integrados ao AD (Server 2008) usam UDP para a consulta encaminhada, o que esgotará o tempo limite e reusará em um SERVFAIL de volta ao cliente de origem.

As configurações para encaminhadores condicionais não fazem provisão para seleção de protocolo:

A RFC 1123 diz

a DNS resolver or server that is sending a non-zone-transfer query MUST send a UDP query first.

... mas isso foi substituído em 5966 por

A resolver SHOULD send a UDP query first, but MAY elect to send a TCP query instead if it has good reason to expect the response would be truncated if it were sent over UDP

Isso não augura nada de bom se eu estiver no Server 2008 (a última RFC foi de 2010). Alguém sabe de uma maneira que eu possa forçar meu encaminhador a usar apenas TCP (ou pelo menos primeiro)? É possível em outras implementações de DNS, no caso de eu ter que configurar um como intermediário?

    
por SmallClanger 15.08.2014 / 16:27

1 resposta

4

Não há como desativar o UDP no servidor DNS da Microsoft (verifique documentação do dnscmd .

Esta restrição nos pacotes UDP não parece razoável e o firewall é flexível o suficiente para aceitar uma exceção que permite que seus servidores enviem solicitações através da porta UDP 53.

Sempre que o RFC disser "DEVE", é melhor seguir o que está escrito para evitar comportamentos não especificados / imprevisíveis. A maneira correta é usar somente TCP após um UDP com uma resposta truncada recebida.

RFC 1035 (com relação ao método preferido):

UDP is not acceptable for zone transfers, but is the recommended method for standard queries in the Internet.

RFC 2181 (em relação ao UDP truncado):

Where TC is set, the partial RRSet that would not completely fit may be left in the response. When a DNS client receives a reply with TC set, it should ignore that response, and query again, using a mechanism, such as a TCP connection, that will permit larger replies.

É melhor que tenham uma boa razão para não permitir o UDP 53 (extremamente improvável).

    
por 15.08.2014 / 17:20