servidor DNS do Windows 2003 e DNS SEC

5

Eu tenho quase que o Windows 2003 server out-of-the-box, que também é servidor de nome de domínio para alguns usuários. Eu deveria estar preocupado com a implantação do dnssec no 5º de maio em servidores de nomes de raiz? / p>

eu já corri:

dnscmd /Config /EnableEDnsProbes 1

muito obrigado!

ps. minha infraestrutura de firewalls / rede não bloqueia pacotes udp > 512B

meu resultado do teste maduro:

Announced buffer size: 1280 bytes

Measured buffer size: 1259 bytes

EDNS enabled: yes

DNSSEC enabled: no

Your resolver does not have DNSSEC enabled.

Note: There will always be a difference between the announced and measured buffer size because of the algorithm used. However this difference should not exceed 300 bytes.

ps # 2

este é o servidor de diretório ativo, por isso tem o serviço dns, que é o servidor de DNS autoritativo para alguma zona de DNS interna [não usado na Internet pública]. este servidor também é usado como servidor de nomes recursivo para alguns usuários internos.

    
por pQd 21.04.2010 / 13:02

3 respostas

1

Pelo que você disse, presumo que esse é um servidor recursivo e não um servidor autoritativo .

Dos detalhes fornecidos, você não deve ter problemas. Sua rede aparentemente suporta respostas > 512 bytes, e seu servidor suporta EDNS0.

Em qualquer caso, você só terá problemas se o servidor enviar consultas a servidores externos que tenham o conjunto DO bit (DNSSEC OK).

Sem esse sinalizador, todas as respostas dos servidores raiz (e de qualquer outro servidor autoritativo) serão exatamente iguais em 5 de maio, como acontecia antes do DNSSEC.

A única outra coisa que você deve verificar é que sua rede permite que as consultas DNS de saída trabalhem sobre TCP - portanto, nunca bloqueie o tcp / 53 de saída em seu firewall.

Se precisar de mais ajuda, por favor, pergunte. Sou autor de vários documentos da ICANN e da IETF relacionados a esse assunto.

    
por 23.04.2010 / 15:01
1

Eu acho que você precisaria se preocupar apenas se duas coisas se aplicassem à sua situação:

  1. Você usa os servidores de dicas de raiz em vez de encaminhadores

  2. Seu firewall bloqueia pacotes UDP do DNS com mais de 512 bytes

Sei que meus firewalls não oferecem suporte a pacotes UDP do DNS com mais de 512 bytes, então mudei do uso dos servidores de dica de raiz para os servidores DNS públicos do Google para consultas DNS externas.

    
por 21.04.2010 / 15:38
1

Acho melhor você testar os testes. Maduro explica aqui , então você pode ver se precisa fazer alguma coisa no seu servidor ou nos seus firewalls. Tudo o mais seria adivinhar o trabalho do meu ponto de vista.

Se os usuários estiverem conectados por um roteador, eles também devem tentar os testes, independentemente de as consultas do DNS funcionarem. Eu tenho um Fritz Router e eu precisava aplicar uma solução alternativa, pois o roteador suporta apenas pacotes DNS de até 512Byte.

    
por 21.04.2010 / 15:57