Wir sind ein kleines Unternehmen mit wenigen Servern – 2 Windows-Server und 1 Linux-Server. Momentan erleben wir einen DDoS-Angriff auf unseren DNS-Server – wahrscheinlich senden einige gefälschte IP-Adressen kleine Anfragen, die meinen Server dazu veranlassen, große Nachrichten (Root-Hinweise) zurückzugeben.
Die beiden Windows 2003-Server stellen sowohl ourDomain.local als auch ourDomain.com bereit – .local gibt natürlich die internen IP-Adressen der Dinge an, während .com Webserver und MX-Einträge usw. bereitstellt. Außerdem haben unsere internen Benutzer diese beiden DNS-Server als ihre DNS-Server. Alles, was die Server nicht wissen, wird an die DNS-Server unseres ISPs weitergeleitet, die dann an die lokalen Clients antworten.
Gibt es eine Möglichkeit, die DNS-Server dazu zu bringen, wie folgt zu antworten:
- Interne Kunden - jede Anfrage
- Externe Clients – NUR Anfragen für ourDomain.com
Oder brauche ich dafür tatsächlich separate physische Server?
Wenn etwas unklar ist oder fehlt, lassen Sie es mich wissen und ich werde nachforschen.
Danke!
Antwort1
Leider gibt es in W2K3 keine Möglichkeit, dies zu tun. Sie müssen einen anderen DNS-Server einrichten. Ich würde empfehlen, die aktuellen Server als Ihre AD\DNS-Server für Ihre internen AD\DNS-Clients zu belassen und neue Server zum Hosten Ihrer externen Zonen einzurichten.