分析DNS服務(wù)器未響應(yīng)故障原因

DNS服務(wù)器支持多線(xiàn)解析（對(duì)內(nèi)部網(wǎng)絡(luò)而已，可以自動(dòng)解析為速度較快的鏡像服務(wù)器），特別適合有多條出口線(xiàn)路的運(yùn)營(yíng)商。 DNS服務(wù)器對(duì)于外部INTERNET訪(fǎng)問(wèn)本地站點(diǎn)時(shí)候，可以針對(duì)不同的用戶(hù)解析到不同的IP地址。

DNS服務(wù)器出現(xiàn)問(wèn)題的原因主要有三個(gè)：由于網(wǎng)絡(luò)故障與主控服務(wù)器的連接斷開(kāi)，為主控服務(wù)器配置的 IP 地址不正確，主控服務(wù)器上的區(qū)域數(shù)據(jù)文件中有語(yǔ)法錯(cuò)誤。

預(yù)防DNS出現(xiàn)以上三種故障我們應(yīng)該采取的措施：

禁用區(qū)域傳輸

　　區(qū)域傳輸發(fā)生在主DNS服務(wù)器和從DNS服務(wù)器之間。主DNS服務(wù)器授權(quán)特定域名，并且?guī)в锌筛膶?xiě)的DNS區(qū)域文件，在需要的時(shí)候可以對(duì)該文件進(jìn)行更新 。從DNS服務(wù)器從主力DNS服務(wù)器接收這些區(qū)域文件的只讀拷貝。從DNS服務(wù)器被用于提高來(lái)自?xún)?nèi)部或者互聯(lián)網(wǎng)DNS查詢(xún)響應(yīng)性能。

　　然而，區(qū)域傳輸并不僅僅針對(duì)從DNS服務(wù)器。任何一個(gè)能夠發(fā)出DNS查詢(xún)請(qǐng)求的人都可能引起DNS服務(wù)器配置改變，允許區(qū)域傳輸傾倒自己的區(qū)域數(shù)據(jù) 庫(kù)文件。惡意用戶(hù)可以使用這些信息來(lái)偵察你組織內(nèi)部的命名計(jì)劃，并攻擊關(guān)鍵服務(wù)架構(gòu)。你可以配置你的DNS服務(wù)器，禁止區(qū)域傳輸請(qǐng)求，或者僅允 許針對(duì)組織內(nèi)特定服務(wù)器進(jìn)行區(qū)域傳輸，以此來(lái)進(jìn)行安全防范。

　　在DNS注冊(cè)表中建立訪(fǎng)問(wèn)控制

　　在基于Windows的DNS服務(wù)器中，你應(yīng)該在DNS服務(wù)器相關(guān)的注冊(cè)表中設(shè)置訪(fǎng)問(wèn)控制，這樣只有那些需要訪(fǎng)問(wèn)的帳戶(hù)才能夠閱讀或修改這些注冊(cè)表設(shè)置。

　　HKLM\CurrentControlSet\Services\DNS鍵應(yīng)該僅僅允許管理員和系統(tǒng)帳戶(hù)訪(fǎng)問(wèn)，這些帳戶(hù)應(yīng)該擁有完全控制權(quán)限。

    使用防火墻來(lái)控制DNS訪(fǎng)問(wèn)

　　防火墻可以用來(lái)控制誰(shuí)可以連接到你的DNS服務(wù)器上。對(duì)于那些僅僅響應(yīng)內(nèi)部用戶(hù)查詢(xún)請(qǐng)求的DNS服務(wù)器，應(yīng)該設(shè)置防火墻的配置，阻止外部主機(jī)連接 這些DNS服務(wù)器。對(duì)于用做只緩存轉(zhuǎn)發(fā)器的DNS服務(wù)器，應(yīng)該設(shè)置防火墻的配置，僅僅允許那些使用只緩存轉(zhuǎn)發(fā)器的DNS服務(wù)器發(fā)來(lái)的查詢(xún)請(qǐng)求。防火墻策略設(shè)置的重要一點(diǎn)是阻止內(nèi)部用戶(hù)使用DNS協(xié)議連接外部DNS服務(wù)器。