web-dev-qa-db-ja.com

Windows 2003DNSサーバーとDNSSEC

私はほとんどすぐに使えるWindows2003サーバーを持っていますが、これは一部のユーザーのドメインネームサーバーでもあります。心配する必要があります 5月5日 ルートネームサーバーへのdnssecの展開?

私はすでに実行しました:

dnscmd /Config /EnableEDnsProbes 1

どうもありがとう!

ps。ファイアウォール/ネットワークインフラストラクチャが512Bを超えるUDPパケットをブロックしない

ripe テストからの私の結果:

発表されたバッファサイズ:1280バイト

測定されたバッファサイズ:1259バイト

EDNS対応:はい

DNSSECが有効:いいえ

リゾルバーでDNSSECが有効になっていません。

注:使用されるアルゴリズムにより、アナウンスされたバッファーサイズと測定されたバッファーサイズには常に違いがあります。ただし、この差は300バイトを超えてはなりません。

ps#2

これはActiveDirectoryサーバーであるため、一部の内部DNSゾーン[パブリックインターネットでは使用されない]に対して権限のあるDNSサーバーであるDNSサービスがあります。このサーバーは、一部の内部ユーザーの再帰ネームサーバーとしても使用されます。

5
pQd

あなたが言ったことから、これは再帰的サーバーであり、信頼できるサーバーではないと推測しています。

与えられた詳細から、あなたは問題がないはずです。ネットワークは明らかに512バイトを超える応答をサポートしており、サーバーはEDNS0をサポートしています。

いずれにせよ、サーバーがDOビット(DNSSEC OK)が設定されている外部サーバーにクエリを送信した場合にのみ問題が発生します。

このフラグがないと、ルートサーバー(およびその他の権限のあるサーバー)からのすべての応答は、5月5日にDNSSECの前とまったく同じように見えます。

他に確認する必要があるのは、ネットワークがアウトバウンドDNSクエリの処理を許可していることですTCP-したがって、ファイアウォールでアウトバウンドtcp/53をブロックしないでください。

さらにサポートが必要な場合は、お問い合わせください。私は、この問題に関連するさまざまなICANNおよびIETFドキュメントの作成者です。

1
Alnitak

私はあなたがあなたの状況に2つのことが当てはまる場合にのみ心配する必要があると思います:

  1. フォワーダーの代わりにルートヒントサーバーを使用します

  2. ファイアウォールは512バイトを超えるDNSUDPパケットをブロックします

ファイアウォールが512バイトを超えるDNSUDPパケットをサポートしていないことを知っているので、ルートヒントサーバーの使用から外部DNSクエリにGoogleのパブリックDNSサーバーの使用に切り替えました。

1
joeqwerty

Ripeが説明するテストを試してみるのが最善だと思います ここ そうすれば、サーバーまたはファイアウォールで何かを行う必要があるかどうかがわかります。他のすべては私の観点から推測作業になります。

ユーザーがルーター自体で接続している場合は、DNSクエリが機能するかどうかをテストする必要があります。私はフリッツルーターを持っていますが、ルーターは最大512バイトのDNSパッケージしかサポートしていないため、回避策を適用する必要がありました。

1
Hartmut