私たちの組織のプライマリ DNS サーバーは、2 つのフォワーダーが設定されている Windows Server 2008 です。ファイアウォールで偶然気づいたのですが、このサーバーは標準の UDP クエリに加えて、フォワーダーに通常の TCP 要求を送信しています。サーバーで Wireshark を実行したところ、レートは異なりますが、1 秒あたり約 2 パケットであることがわかりました。すべてのパケットはほぼ同じです。
<server> <forwarder> TCP 62 55148 > domain [SYN] Seq=0 Win=8192 Len=0 MSS=1460 SACK_PERM=1
場合によっては、フォワーダーがリセットで応答することがあります。
<forwarder> <server> TCP 60 domain > 55148 [RST, ACK] Seq=1 Ack=0 Win=0 Len=0
これは正常で予想される動作ですか、それとも心配する必要がありますか? 他の DNS サーバーで同じ動作が見られることはありません。これは、TCP 経由で DNS パケットを送信している唯一の Windows サーバーです。
答え1
これらのパケット キャプチャをもう少し詳しく調べると、これらの TCP 要求の後に 512 バイトの切り捨てられた UDP 応答が続くことがわかるでしょう。あるいは、これはゾーン転送を実行しようとする試みである可能性もありますが、フォワーダーであるとおっしゃったことから、これを信じる気は薄れています。
UDP 上の EDNS が機能していない場合、DNS ソフトウェアは完全なパケットを取得するために TCP 再試行を試行するのが一般的です。[SYN]に続く は[RST, ACK]、リモート サーバーがそのポートをリッスンしておらず、典型的な「接続拒否」を返していることを意味します。
実際にそれが起こっている場合は、リモート サーバーが TCP セッションを拒否している理由を調べる必要があります。DNS サーバーが完全な応答ペイロードを取得できないことの影響は、それを要求しているアプリケーションとそのデータの使用方法によって完全に異なります。