分析DNS服務器未響應故障原因

DNS服務器支持多線解析（對內(nèi)部網(wǎng)絡而已，可以自動解析為速度較快的鏡像服務器），特別適合有多條出口線路的運營商。 DNS服務器對于外部INTERNET訪問本地站點時候，可以針對不同的用戶解析到不同的IP地址。

DNS服務器出現(xiàn)問題的原因主要有三個：由于網(wǎng)絡故障與主控服務器的連接斷開，為主控服務器配置的 IP 地址不正確，主控服務器上的區(qū)域數(shù)據(jù)文件中有語法錯誤。

預防DNS出現(xiàn)以上三種故障我們應該采取的措施：

禁用區(qū)域傳輸

　　區(qū)域傳輸發(fā)生在主DNS服務器和從DNS服務器之間。主DNS服務器授權(quán)特定域名，并且?guī)в锌筛膶懙?/SPAN>DNS區(qū)域文件，在需要的時候可以對該文件進行更新 。從DNS服務器從主力DNS服務器接收這些區(qū)域文件的只讀拷貝。從DNS服務器被用于提高來自內(nèi)部或者互聯(lián)網(wǎng)DNS查詢響應性能。

　　然而，區(qū)域傳輸并不僅僅針對從DNS服務器。任何一個能夠發(fā)出DNS查詢請求的人都可能引起DNS服務器配置改變，允許區(qū)域傳輸傾倒自己的區(qū)域數(shù)據(jù) 庫文件。惡意用戶可以使用這些信息來偵察你組織內(nèi)部的命名計劃，并攻擊關(guān)鍵服務架構(gòu)。你可以配置你的DNS服務器，禁止區(qū)域傳輸請求，或者僅允 許針對組織內(nèi)特定服務器進行區(qū)域傳輸，以此來進行安全防范。

　　在DNS注冊表中建立訪問控制

　　在基于Windows的DNS服務器中，你應該在DNS服務器相關(guān)的注冊表中設置訪問控制，這樣只有那些需要訪問的帳戶才能夠閱讀或修改這些注冊表設置。

　　HKLM\CurrentControlSet\Services\DNS鍵應該僅僅允許管理員和系統(tǒng)帳戶訪問，這些帳戶應該擁有完全控制權(quán)限。

    使用防火墻來控制DNS訪問

　　防火墻可以用來控制誰可以連接到你的DNS服務器上。對于那些僅僅響應內(nèi)部用戶查詢請求的DNS服務器，應該設置防火墻的配置，阻止外部主機連接 這些DNS服務器。對于用做只緩存轉(zhuǎn)發(fā)器的DNS服務器，應該設置防火墻的配置，僅僅允許那些使用只緩存轉(zhuǎn)發(fā)器的DNS服務器發(fā)來的查詢請求。防火墻策略設置的重要一點是阻止內(nèi)部用戶使用DNS協(xié)議連接外部DNS服務器。