DNS recursivo desabilitado. Como configurar o DNS dividido? [duplicado]

Navegue suas respostas
1

Eu tenho um servidor Windows Server 2008 R2 que hospeda um site público. Recentemente, eu desativei "Recursão de DNS" para opções de segurança pelo método a seguir :

Nas propriedades do meu servidor DNS na guia "Avançado" nas opções do servidor, marquei a opção: Desativar recursão .

Agora tenho o problema de que os nomes DNS não são resolvidos localmente. Por isso, não consigo abrir o google.com nem o microsoft.com nem qualquer outra coisa.

Agora descobri que preciso configurar um DNS dividido, de modo que eu tenha:

  • One Zone, que responde apenas às consultas do DNS lokal e permite a recursão
  • One Zone, que responde apenas a consultas DNS externas e não permite recursão.

Minha configuração atual é assim:

Eu tenho um servidor chamado WIN-FOOBAR e um domínio chamado foo.bar.com, então há duas entradas _msdcs.foo.bar.com e foo.bar.com.

Agora tenho duas perguntas:

  1. Se eu desabilitar a recursão nas opções do servidor (por exemplo, no nó pai chamado WIN-FOOBAR), como posso ter duas zonas em que uma permite recursão e outra não? A entrada Forward-Lookupzone é um nó filho do WIN-FOOBAR. Mas eu não vi uma opção para desabilitar a recursão para zonas individuais.

  2. Como devo nomear a segunda zona, que é usada internamente? A zona atual é foo.bar.com , posso criar uma segunda zona e também nomeá-la foo.bar.com ou ela deve ser nomeada de forma diferente? Se eu nomeá-lo por exemplo, foo.local , ele ainda poderá resolver as consultas para foo.bar.com ?

por lanoxx 18.02.2014 / 13:10

2 respostas

4

A recursão é uma configuração do servidor, não uma configuração de zona.

Se o servidor DNS só puder ser acessado e usado apenas por clientes internos, você poderá deixar a recursão ativada.

Se o servidor DNS for para seu nome / zona de domínio público e não for usado por clientes internos, você poderá desabilitar a recursão e não precisará fazer nada além de criar uma zona para seu nome de domínio público e certificar-se de que você tenha os registros NS apropriados registrados no seu Registrador.

Se o servidor DNS é usado por clientes internos e hospeda sua zona DNS pública, então você está fazendo errado e você deve separar os dois.

Além disso, a presença da zona _msdcs indica que esse servidor é o servidor DNS do seu domínio do AD. Nesse caso, sugiro veementemente que você não use esse servidor para hospedar sua zona DNS pública e que não tornar este servidor acessível para o exterior.

    
por 18.02.2014 / 17:01
1

Você não pode fazer isso com Servidor DNS da Microsoft .

Você pode fazer isso em BIND usando acls para especificar quem pode fazer consultas recursivas.

Exemplo de snippet de configuração do BIND9: 

acl "internal" {
    10.0.0.0/8;
    192.168.0.0/16;
    172.16.0.0/12;
}
allow-query: 0.0.0.0/0;
allow-recursion: "internal";
    
por 19.02.2014 / 00:32

Tags

Como rastrear o motivo da desistência da conexão com a Internet Como configurar um repositório local para o Ubuntu e adicionar pacotes próprios [fechados]