Devo desativar a recursão de DNS?

4

Eu tenho dois controladores de domínio, ambos são servidor DNS e eu configurei o encaminhador para ambos (como por baixo da tela de impressão)

maseunãodesabiliteiarecursãoemambososservidores(porfavor,vejaabaixoateladeimpressão)

há uma recomendação para desativar a recursão do DNS. Eu acho que se eu desabilitar a recursão de DNS, isso afetará o desempenho, mas eu também quero ter a melhor segurança colocada. Por favor, deixe-me saber o que devo fazer? devo desativar a recursão de DNS?

    
por Param 10.08.2015 / 16:51

3 respostas

3

Depende das necessidades do seu negócio. Se você tem clientes conectando-se a este servidor DNS e pedindo nomes que não estão na sua rede, como google.com, facebook.com, yahoo.com, whitehouse.gov, etc ..., já que seu servidor DNS não é autoritativo Para esses domínios, você deve usar Recursão ou a resolução de nomes falhará para nomes de domínios externos não hospedados em seu servidor DNS. A maioria dos locais de trabalho permite acesso à Internet, no entanto, se você estiver em uma rede bem controlada (nesse caso, se você precisar de segurança extraordinária, não deverá estar conectado à Internet), desabilitar a recursão impedirá a resolução de nomes. seu servidor DNS não é autoritativo para. Também vale a pena notar que, se você desabilitar a recursão, não há sentido em adicionar encaminhadores, pois eles não serão usados. (Dicas de raiz também não serão usadas se a recursão estiver desativada.)

    
por 10.08.2015 / 16:58
0

Na maioria dos casos:

Ruim:

  1. Servidor de nomes recursivo disponível publicamente.

Bem:

  1. Servidor de nomes para domínios específicos disponíveis publicamente.
  2. Servidor de nomes recursivo disponível de forma privada (rede local).

Para garantir que um servidor de nomes recursivo não esteja disponível publicamente, sugiro fazer com que o servidor / serviço DNS apenas escute em endereços privados e o tráfego enviado para a porta DNS (53) de qualquer interface pública seja bloqueado. Fazer as duas coisas garante que uma única alteração acidental na configuração não as torne publicamente acessíveis.

    
por 10.08.2015 / 17:15
0

A menos que você precise usar forwarders, você não deve. É melhor deixar seus DCs resolverem interno e externo. Isso lhe dará o melhor desempenho. A única razão pela qual você deseja ter encaminhadores é se você tiver apenas um servidor DNS, você tem requisitos de segurança que são muito rígidos, seu controlador de domínio não tem conectividade com a Internet ou seus servidores DNS estão sobrecarregados. Se você não usar encaminhadores, seus controladores de domínio usarão os registros do servidor de domínio ROOT para serem resolvidos (é necessária conexão com a Internet do DC)

Você NÃO deve configurar um encaminhador para cada um dos seus DCs para apontar um ao outro. Seus clientes devem listar os dois servidores DNS em suas configurações de IP. Se eles fizerem isso, o cliente os encontrará. Se não, você deve corrigir a configuração para que ambos os servidores DNS sejam listados na configuração do seu cliente (Ipconfig / all)

    
por 10.08.2015 / 17:38