DNS再帰を無効にする必要がありますか?
私は2つのドメインコントローラーを持っています。どちらもDNSサーバーであり、両方にフォワーダーを設定しました(以下のPrint-screenに従って)
しかし、私は両方のサーバーで再帰を無効にしていません(以下のprint-screenを参照してください)
dNS再帰を無効にするための推奨事項が1つあります。 DNS再帰を無効にするとパフォーマンスに影響を与えると思いますが、最高のセキュリティを確保したいと考えています。どうすればいいですか? DNS再帰を無効にする必要がありますか?
あなたのビジネスのニーズに依存します。このDNSサーバーに接続し、ネットワーク上にない名前(google.com、facebook.com、yahoo.com、whitehouse.govなど)を要求するクライアントがある場合、DNSサーバーには権限がないためこれらのドメインでは、再帰を使用する必要があります。そうしないと、DNSサーバーでホストされていない外部ドメイン名の名前解決が失敗します。ほとんどの職場ではインターネットアクセスが許可されていますが、非常に厳しく制御されたネットワークにいる場合(この場合、特別なセキュリティが必要な場合は、とにかくインターネットに接続しないでください)、再帰を無効にすると、名前の名前解決ができなくなります。 DNSサーバーに権限がありません。また、再帰を無効にすると、フォワーダーが使用されなくなるため、フォワーダーを追加しても意味がありません。 (再帰が無効になっている場合、ルートヒントも使用されません。)
ほとんどの場合:
悪い:
- 公的に利用可能な再帰的なネームサーバー。
罰金:
- パブリックに利用可能な特定のドメインのネームサーバー。
- プライベート(ローカルネットワーク)で利用可能な再帰ネームサーバー。
再帰的なネームサーバーが公開されていないことを確認するには、DNSサーバー/サービスにプライベートアドレスのみをリッスンさせ、パブリックインターフェイスからDNSポート(53)に送信されるトラフィックをブロックすることをお勧めします。両方を実行することで、1つの偶発的な構成変更がそれを公にアクセス可能にすることがなくなります。
フォワーダーを使用する必要がない限り、使用しないでください。 DCが内部と外部を解決するようにするのが最善です。これにより、最高のパフォーマンスが得られます。フォワーダーを使用する唯一の理由は、DNSサーバーが1つしかない場合、非常に厳しいセキュリティ要件がある場合、DCにインターネット接続がない、またはDNSがない場合です。フォワーダーを使用しない場合、DCはROOTドメインサーバーレコードを使用して解決します(DCインターネット接続が必要です)
各DCが互いにポイントするようにフォワーダーを設定しないでください。クライアントは両方のDNSサーバーをIP構成にリストする必要があります。もしそうなら、クライアントはそれらを見つけます。そうでない場合は、両方のDNSサーバーがクライアント構成にリストされるように構成を修正する必要があります(Ipconfig/all)