私は、DNS サーバーとしても機能する複数の冗長ドメイン コントローラーを備えた、隔離された/エアギャップのあるグローバル ネットワークで作業しています。私の質問は、非常に単純なものであると期待していますが、Google で私たちの設定に当てはまるものを見つけるのに苦労しているようです。
分離されたネットワーク上のシステムから送信される外部インターネット DNS 要求を処理するためのベスト プラクティスはありますか?
背景:
最近、ネットワーク帯域幅の大部分が DNS、具体的には異なる DNS サーバー間のポート 53 の UDP トラフィックによって使用されていることが判明しました。これは、DNS デバッグ ログを有効にすると確認できます。DNS サーバーすべてで毎時数百メガバイトの DNS トラフィックが見られます。主な原因は McAfee の GTI/Artemis プロトコルであることがわかっています。このプロトコルでは、ハッシュされたファイル データを DNS 要求を介して avts または avqs.mcafee.com に送信しようとします。ネットワーク上の McAfee ソフトウェアに対処することで McAfee の問題を解決していますが、異なる DNS サーバー間で DNS 要求がどのように転送されているかが気になります。DNS サーバーは、外部サイトへの要求をネットワーク内の別の DNS サーバーに転送しているだけのようです。このプロセスは永久に続くか、少なくとも非常に長い時間 (DNS デバッグ ログで追跡した 1 つの特定の要求では 30 分以上) 続くようです。リクエストは、サーバー 1 -> サーバー 2 -> サーバー 3 -> サーバー 1 というように送信されます。現時点では明らかに何かが適切に構成されていないように見えるため、構成管理の担当者に変更を提案するためにいくつかのデータを集めようとしています。
Windows Server 2008 R2 を使用しています。
答え1
すべての DNS サーバーが内部のみで、ゾーンが複製されている場合、フォワーダーとルート ヒントは存在せず、外部ルックアップはローカル リゾルバー (DC) から NXDOMAIN または SERVFAIL のいずれかを 1 回受信します。
見る再帰を無効にする
答え2
問題がソフトウェアによる avqs.mcafee.com の解決である場合は、avqs.mcafee.com のゾーンを作成し、トラフィックをブラックホール ボックスに解決します。