Apakah ada cara untuk menonaktifkan kueri rekursif oleh DNS yang dihosting di server sementara masih memungkinkan kueri DNS yang berasal dari server berfungsi?
Tidak dengan server DNS Microsoft, tidak ada.
Dengan server DNS ISC, BIND, orang dapat melakukan hal-hal dengan pandangan. Server DNS Microsoft tidak memiliki mekanisme seperti itu. Jadi untuk setiap contoh server DNS Microsoft, kita harus memilih apakah itu server DNS konten publik atau server DNS proksi lokal-situs . Itu tidak dapat membentuk sesuatu dan berpura-pura menjadi berbagai jenis server untuk klien DNS yang berbeda.
Layanan / alat pengujian keamanan cukup tepat. Ini adalah praktik terbaik untuk tidak menyediakan layanan proxy - segala jenis layanan proxy: baik itu layanan proxy HTTP, layanan proxy DNS, atau layanan Pengiriman SMTP - ke seluruh Internet melebihi situs sendiri. Anda harus memiliki server terpisah : server DNS konten yang menerbitkan data DNS publik Anda, tentang nama domain Anda yang telah Anda daftarkan, kepada semua orang di Internet; dan server DNS proksi lokal, yang melakukan pekerjaan kasar dari resolusi kueri atas nama komputer LAN / organisasi Anda, yang hanya dapat diakses oleh mesin di organisasi Anda / di LAN Anda. Dengan server DNS Microsoft, ini tidak mudah.
Ini akan sangat sulit jika mesin Anda juga merupakan pengontrol domain. Anda menyatakan bahwa mesin ini dapat langsung dijangkau dari seluruh Internet. Jika mesin seperti itu adalah pengontrol domain, maka Anda harus memikirkan kembali organisasi jaringan Anda sekarang . Anda akan mengekspos banyak sekali layanan internal kepada publik, bukan hanya layanan DNS proxy. Jadi mari kita bekerja dengan anggapan bahwa ini bukan pengontrol domain.
Karena ini bukan pengontrol domain, dan hanya server anggota , Anda tidak memiliki persyaratan bahwa klien DNS pada mesin harus menggunakan server DNS milik mesin sendiri (atau, awalnya, server DNS pengontrol domain lain) untuk proxy Layanan DNS, itulah yang terjadi untuk pengontrol domain. Jika sudah, Anda tidak akan dapat mematikan layanan DNS proksi di server DNS mesin. Untungnya, itu bukan pengontrol domain, dan klien DNS-nya dapat menggunakan mesin lain untuk layanan DNS proxy, bukan dirinya sendiri.
Klien DNS pada mesin server anggota masih harus menggunakan server DNS proxy internal . Anda tidak bisa hanya mengarahkannya ke beberapa server DNS eksternal seperti yang disediakan oleh ISP Anda, Google, atau pihak lain mana pun yang tidak mengetahui semua data DNS yang digunakan Active Directory pada LAN Anda . Anda dapat mengarahkan klien DNS mesin di server DNS pada satu atau lebih pengontrol domain Anda. Ini cukup sederhana, dan itulah yang Anda - setelah semua - sudah lakukan pada semua workstation Anda di LAN Anda. Klien DNS di server anggota Anda hanya perlu dikonfigurasi seperti klien DNS di semua workstation Anda .
Mengingat bahwa klien DNS mesin Anda tidak menggunakan server DNS yang berjalan pada mesin untuk layanan DNS proksi, Anda kemudian hanya mengkonfigurasi server DNS Microsoft untuk tidak menyediakan layanan proxy DNS dalam bentuk apa pun kepada siapa pun.
Bacaan lebih lanjut