O DNS do servidor Windows resolve localhost para (alguns) IPs externos

1

Eu tenho 2 servidores DNS do Windows Server 2008 R2 que compartilham o domínio xyz.wan e residem na sub-rede 192.168.50.0/24 da minha rede. Conectadas via VPN IPSec site a site, existem outras sub-redes (192.168.51.0/24, .52.0 / 24, etc.) que possuem suas próprias zonas de pesquisa reversa no DNS da Microsoft.

Recentemente, meus servidores começaram a se comportar estranhamente resolvendo TODOS os endereços NÃO no DNS (por exemplo, algum cliente estático em um site remoto sem registro DNS) para o próprio nome, server1.xyz.wan, em vez de mostrar o IP no perfmon do Windows .

Agora eu descobri que, se eu fizer um nslookup em qualquer um dos dois servidores e digitar algum IP que eu nem uso, como 192.168.111.111, o outro servidor responde com "localhost".

A resolução de DNS funciona como um encanto para tudo no domínio. Eu também tracei os pacotes com o Wireshark:

192.168.50.161  192.168.50.163  DNS 88  Standard query PTR 111.111.168.192.in-addr.arpa
192.168.50.163  192.168.50.161  DNS 111 Standard query response PTR localhost

Alguém pode me indicar a direção certa do que está acontecendo aqui? Eu simplesmente não consigo descobrir.

    
por Lenniey 26.11.2014 / 14:17

1 resposta

2

Espero que seja um registro curinga em uma zona reversa. Ou é uma zona reversa que você gerencia, ou suas consultas estão vazando para seus servidores de nomes upstream (provavelmente seu ISP) e a resposta está vindo de lá.

Se o registro de caractere curinga estivesse do seu lado, você encontraria algo semelhante ao seguinte na X.168.192.in-addr.arpa. zone mais aplicável:

* IN PTR localhost.

Como você provavelmente veria isso, provavelmente é mais provável que 1) uma zona in-addr.arpa. correspondente não exista para o IP em questão e 2) a consulta esteja vazando para os servidores de nomes upstream. Você pode confirmar se esse é o caso executando as consultas reversas estranhas diretamente contra elas. (ignorando seus servidores de nomes locais)

Esta não seria a primeira vez que um ISP tem dados DNS reversos incomuns que eles estão expondo desnecessariamente aos seus clientes.

    
por 26.11.2014 / 14:48