locked
DNS Server - Disable Recursion RRS feed

  • Pergunta

  • Caros, estou confuso, alguém pode me dar um help...

     

    Dúvidas:

     

    1) Quando o DNS server usa os root servers, ele irá fazer consulta interativa, e se estiver configurado forward o DNS irá fazer consulta recursiva, é isto?

     

    2) Quando não tenho nenhum domínio criado, só a lista de root servers, meu dns server(modo cache) utiliza os root server para resolver nome na Intenet, quando crio qualquer zona local, aí o DNS server não consulta mais os root server e só resolve nomes da Internet se tiver um forward para um DNS da internet, é certo isso e por quê?

     

    Essas dúvidas apareceram nos estudos para o 70-291, que diz para bloquear clientes dns de resolver nomes na Internet bastava desabilitar consulta recursiva... Eu sempre achei que o certo era limpar a lista de root servers e não ter nenhum forward, se isto é verdade, então a consulta com os root server é recursiva...!

     

    Desde já agradeço,

    Luiz Cataldo

     

    quarta-feira, 6 de junho de 2007 01:45

Respostas

  • 1) Sim. Ao fazer uma consulta nos servidores raiz a consulta é iterativa. Ele vai diretamente ao raíz e depois vai descendo aos domínios subsequentes até encontrar o domínio especificado.

    Se voce usa um encaminhamento padrao qualquer consulta que o dns nao possa resolver ele irá fazer diretamente aos servidores dns especificados em foward. Com isso ele fará uma consulta recursiva ao servidor dns especificado.

     

    2) Quando vc nao tem nenhuma zona no seu dns ele é um dns de cache somente.

    Quando for criado uma zona local o dns se comportará da seguinte forma:

     

    Quando um cliente faz uma consulta no dns ele primeiramente verifica seu cache para resolver o nome. Caso não consiga, ele vai até a  sua lista de foward  para verificar se há algum encaminhamento condicional para a zona ou se há servidores dns configurados como forward padrão para que ele possa encaminhar a consulta. Caso não tenha nada configurado ele vai fazer a busca nos servidores raíz e retorna uma resposta ao cliente.

     

    A questão da consulta recursiva é o seguinte:

     

    Quando você configura seu servidor dns para fazer forward e desabilita a consulta recursiva o dns trabalha da seguinte forma:

    Um cliente fez uma consulta no seu servidor dns. Caso o dns não possua a consulta em cache nem possa resolver o nome com sua zona local ele vai verificar se existe algum forward configurado. Vamos supor que seu forward esteja configurado para não fazer consulta recursiva ele vai encaminhar a consulta para esse servidor dns. Se por exemplo esse servidor dns estiver off-line o seu servidor dns não será capaz de tentar fazer a consulta nos servidores raíz da internet. Com isso ele irá retornar um erro para o cliente dizendo que não pode resolver o nome.

     

    A principal função de desabilitar consulta recursiva é fazer com que seu servidor dns não resolva nomes na internet. Ele sempre irá encaminhar isso para um servidor dns (um provedor, ou um dns da sua empresa específico para isso por ex.) . Isso dará mais segurança ao seu servidor dns pois evita que pessoas possam capturar algum tráfego gerado pelo seu servidor dns na internet.

     

    Bruno

    quarta-feira, 6 de junho de 2007 14:50

Todas as Respostas

  • 1) Sim. Ao fazer uma consulta nos servidores raiz a consulta é iterativa. Ele vai diretamente ao raíz e depois vai descendo aos domínios subsequentes até encontrar o domínio especificado.

    Se voce usa um encaminhamento padrao qualquer consulta que o dns nao possa resolver ele irá fazer diretamente aos servidores dns especificados em foward. Com isso ele fará uma consulta recursiva ao servidor dns especificado.

     

    2) Quando vc nao tem nenhuma zona no seu dns ele é um dns de cache somente.

    Quando for criado uma zona local o dns se comportará da seguinte forma:

     

    Quando um cliente faz uma consulta no dns ele primeiramente verifica seu cache para resolver o nome. Caso não consiga, ele vai até a  sua lista de foward  para verificar se há algum encaminhamento condicional para a zona ou se há servidores dns configurados como forward padrão para que ele possa encaminhar a consulta. Caso não tenha nada configurado ele vai fazer a busca nos servidores raíz e retorna uma resposta ao cliente.

     

    A questão da consulta recursiva é o seguinte:

     

    Quando você configura seu servidor dns para fazer forward e desabilita a consulta recursiva o dns trabalha da seguinte forma:

    Um cliente fez uma consulta no seu servidor dns. Caso o dns não possua a consulta em cache nem possa resolver o nome com sua zona local ele vai verificar se existe algum forward configurado. Vamos supor que seu forward esteja configurado para não fazer consulta recursiva ele vai encaminhar a consulta para esse servidor dns. Se por exemplo esse servidor dns estiver off-line o seu servidor dns não será capaz de tentar fazer a consulta nos servidores raíz da internet. Com isso ele irá retornar um erro para o cliente dizendo que não pode resolver o nome.

     

    A principal função de desabilitar consulta recursiva é fazer com que seu servidor dns não resolva nomes na internet. Ele sempre irá encaminhar isso para um servidor dns (um provedor, ou um dns da sua empresa específico para isso por ex.) . Isso dará mais segurança ao seu servidor dns pois evita que pessoas possam capturar algum tráfego gerado pelo seu servidor dns na internet.

     

    Bruno

    quarta-feira, 6 de junho de 2007 14:50
  • Ok Bruno, era o q realmente entendia quanto ao DNS.

     

    Então, se desabilitar consulta recursiva e não usar o forward condicional ou padrão e deixar os root servers é para funcionar, já que estou bloqueando apenas consultas recursivas.

     

    Quanto ao problema de usar forward, já tentei usar forward apenas condicional deixando o forward padrão em branco, e o dns se recusou a resolver nomes com o root servers, tive que resolver isto colocando no forward padrão 2 dns do provedor do cliente, sempre acontece isso comigo, mas nunca parei para ver o pq.

     

    Muito Obrigado,

     

    Luiz Cataldo

    quarta-feira, 6 de junho de 2007 19:10
  • O forward condicional vc vai usar se vc precisar resolver um dominio dns especifico (ex. empresa2.com.br). Aí você criaria um forward condicional para por ex. empresa2.com.br. 

    Quando vc usa um dns condicional ele vai resolver somente consultas do dominio que vc especificou.

     

     

     

     

    quarta-feira, 6 de junho de 2007 20:34
  • Senhores,

    Estou com problemas num cliente que possui dois servidores DNS Autoritativos, sendo que um deles esta com a consulta recursiva ativada. Quando desabilito esta opção no DNS, o meu proxy , que redireciona consultas DNS a este servidor não consegue resolver nenhuma consulta , retornando erros de acesso no browser do cliente (não encontra DNS autoritativo para resolver consulta).

    Já tentei redirecionar estas consultas do cliente para DNS externo, no entanto a performance cai drasticamente.
    Os DNS autoritativos estão rodando sob Wiindows 2000 Adv.

    Tenho como liberar consultas recursivas apenas para a rede interna ou melhor o HOST que faz essa solicitação?

    Aguardo
    Atenciosamente,
    terça-feira, 20 de janeiro de 2009 21:42