Windows 2003DNSサーバーとDNSSEC

Question

私はほとんどすぐに使えるWindows2003サーバーを持っていますが、これは一部のユーザーのドメインネームサーバーでもあります。心配する必要があります 5月5日ルートネームサーバーへのdnssecの展開？

私はすでに実行しました：

dnscmd /Config /EnableEDnsProbes 1

どうもありがとう！

ps。ファイアウォール/ネットワークインフラストラクチャが512Bを超えるUDPパケットをブロックしない

ripe テストからの私の結果：

発表されたバッファサイズ：1280バイト

測定されたバッファサイズ：1259バイト

EDNS対応：はい

DNSSECが有効：いいえ

リゾルバーでDNSSECが有効になっていません。

注：使用されるアルゴリズムにより、アナウンスされたバッファーサイズと測定されたバッファーサイズには常に違いがあります。ただし、この差は300バイトを超えてはなりません。

ps＃2

これはActiveDirectoryサーバーであるため、一部の内部DNSゾーン[パブリックインターネットでは使用されない]に対して権限のあるDNSサーバーであるDNSサービスがあります。このサーバーは、一部の内部ユーザーの再帰ネームサーバーとしても使用されます。

Alnitak · Accepted Answer

あなたが言ったことから、これは再帰的サーバーであり、信頼できるサーバーではないと推測しています。

与えられた詳細から、あなたは問題がないはずです。ネットワークは明らかに512バイトを超える応答をサポートしており、サーバーはEDNS0をサポートしています。

いずれにせよ、サーバーがDOビット（DNSSEC OK）が設定されている外部サーバーにクエリを送信した場合にのみ問題が発生します。

このフラグがないと、ルートサーバー（およびその他の権限のあるサーバー）からのすべての応答は、5月5日にDNSSECの前とまったく同じように見えます。

他に確認する必要があるのは、ネットワークがアウトバウンドDNSクエリの処理を許可していることですTCP-したがって、ファイアウォールでアウトバウンドtcp/53をブロックしないでください。

さらにサポートが必要な場合は、お問い合わせください。私は、この問題に関連するさまざまなICANNおよびIETFドキュメントの作成者です。

joeqwerty · Answer

私はあなたがあなたの状況に2つのことが当てはまる場合にのみ心配する必要があると思います：

フォワーダーの代わりにルートヒントサーバーを使用します
ファイアウォールは512バイトを超えるDNSUDPパケットをブロックします

ファイアウォールが512バイトを超えるDNSUDPパケットをサポートしていないことを知っているので、ルートヒントサーバーの使用から外部DNSクエリにGoogleのパブリックDNSサーバーの使用に切り替えました。

Hartmut · Answer

Ripeが説明するテストを試してみるのが最善だと思いますここそうすれば、サーバーまたはファイアウォールで何かを行う必要があるかどうかがわかります。他のすべては私の観点から推測作業になります。

ユーザーがルーター自体で接続している場合は、DNSクエリが機能するかどうかをテストする必要があります。私はフリッツルーターを持っていますが、ルーターは最大512バイトのDNSパッケージしかサポートしていないため、回避策を適用する必要がありました。