pQd*_*pQd 5 domain-name-system windows-server-2003 dnssec
我有几乎开箱即用的 Windows 2003 服务器,它也是某些用户的域名服务器。我应该担心5 月 5 日在根名称服务器上部署 dnssec 吗?
我已经运行:
dnscmd /Config /EnableEDnsProbes 1
多谢!
附:我的防火墙/网络基础设施不会阻止 udp 数据包 > 512B
我的成熟测试结果:
宣布的缓冲区大小:1280 字节
测量缓冲区大小:1259 字节
启用 EDNS:是
启用 DNSSEC:否
您的解析器没有启用 DNSSEC。
注意:由于所使用的算法,公布的缓冲区大小和测量的缓冲区大小之间始终存在差异。但是,这种差异不应超过 300 字节。
PS#2
这是活动目录服务器,因此它具有 dns 服务,它是某些内部 dns 区域的权威 dns 服务器 [未在公共互联网中使用]。此服务器还用作某些内部用户的递归名称服务器。
根据您所说的,我假设这是一个递归服务器,而不是权威服务器。
从给出的细节来看,你应该没有问题。您的网络显然支持 > 512 字节的响应,并且您的服务器支持 EDNS0。
无论如何,只有当您的服务器向DO设置了该位 (DNSSEC OK) 的外部服务器发送查询时,您才会遇到问题。
如果没有该标志,来自根服务器(以及与此相关的任何其他权威服务器)的所有响应在 5 月 5 日看起来将与 DNSSEC 之前完全相同。
您唯一应该检查的另一件事是您的网络允许出站 DNS 查询通过 TCP 工作 - 因此永远不要在防火墙上阻止出站 tcp/53。
如果您需要更多帮助,请询问。我是与此问题相关的各种 ICANN 和 IETF 文件的作者。
| 归档时间: |
|
| 查看次数: |
1008 次 |
| 最近记录: |