Windows 2012R2権威DNSサーバーがルートヒントを返す
ゾーンに対してドメインに参加していない権威DNSサーバーがあり、サーバー設定でDNS再帰を無効にしました。 Dig @ ns1.mydomain.tldでクエリを実行すると。ルートヒントを返します。
「。」という名前の新しいプライマリゾーンを作成できることを読みました。ルートゾーンとして機能します。ただし、これでもボックスのホスト名と不完全なSOA情報が返されます。
私の理解では、ルートヒントを返すことはDNS増幅攻撃に使用できます。これを処理するためのベストプラクティスは何ですか?
残念ながら、WindowsDNSサーバーでルートヒントを無効にすることはできません。これにより、マシンはDNSリフレクション攻撃に悪用されやすくなりますが、ほとんどの攻撃者は実際の再帰DNSサーバーを探します。
長期的には、これを修正するために別のDNSサーバーソフトウェアに移行することをお勧めします。
私はこの質問が少し古いことを知っていますが、この質問に対する良い答えを探している他の人のために、これがどのように行われるかを説明する優れた記事が書かれています:
https://websistent.com/authoritative-dns-in-windows-server-2008/
私はこの記事に一切貢献せず、この記事の著者(「Jesin'sBlog」の下に書かれています)に完全な信用を与えます。
[ルートヒント]タブですべてのルートヒントサーバーを削除しようとすると、再帰的な要求に対してサーバーが失敗したことが返されます。