我应该禁用 DNS 递归吗?
Par*_*ram 6 domain-name-system active-directory domain-controller
我有两个域控制器,都是 DNS 服务器,我已经为两者设置了转发器(按照下面的打印屏幕)
但我没有在两台服务器上禁用递归(请参见下面的打印屏幕)
有一项建议是禁用 DNS 递归。我认为如果我禁用 DNS 递归,它会影响性能,但我也希望拥有最佳的安全性。请让我知道我该怎么办?我应该禁用 DNS 递归吗?
取决于您的业务需求。如果您有客户端连接到此 DNS 服务器并要求它提供不在您网络上的名称,例如 google.com、facebook.com、yahoo.com、whitehouse.gov 等...因为您的 DNS 服务器不是权威的对于那些域,您必须使用递归,否则名称解析将无法用于未托管在您的 DNS 服务器上的外部域名。大多数工作场所确实允许访问互联网,但是,如果您处于一个非常严格控制的网络中(在这种情况下,如果您需要非凡的安全性,无论如何您都不应该连接到互联网),禁用递归将阻止名称解析您的 DNS 服务器没有权威性。还值得注意的是,如果您禁用递归,则添加转发器没有意义,因为它们不会被使用。