我使用一個隔離/氣隙的全球網絡,該網絡具有多個冗餘域控制器,這些域控制器也充當 DNS 伺服器。我希望我的問題非常簡單,但我似乎很難在 Google 上找到適用於我們設定的任何內容。
是否有處理來自隔離網路上的系統的外部網際網路 DNS 請求的最佳實務?
對於背景:
我們最近發現我們的網路頻寬的很大一部分被 DNS 使用,特別是不同 DNS 伺服器之間連接埠 53 上的 UDP 流量。我們可以透過啟用 DNS 偵錯日誌記錄來驗證這一點,我們可以在所有 DNS 伺服器上每小時看到數百兆位元組的 DNS 流量。我們知道罪魁禍首是 McAfee 的 GTI/Artemis 協議,他們嘗試透過 DNS 請求將雜湊檔案資料傳送到 avts 或 avqs.mcafee.com。我們正在透過處理網路上的 McAfee 軟體來解決 McAfee 問題,但我擔心 DNS 請求如何在我們的不同 DNS 伺服器之間轉送。看來我們的 DNS 伺服器只是將對任何外部網站的請求轉發到我們網路中的不同 DNS 伺服器。這個過程似乎會永遠持續,或至少持續很長一段時間(我透過 DNS 偵錯日誌追蹤的一個特定請求超過 30 分鐘)。該請求從伺服器 1 -> 伺服器 2 -> 伺服器 3 -> 伺服器 1 等發送。
使用Windows Server 2008 R2。
答案1
如果所有 dns 伺服器都是內部的並且區域被複製,則您應該沒有轉發器,也沒有根提示,外部查找將從其本機解析器(您的 DC)接收一次 NXDOMAIN 或 SERVFAIL。
看禁用遞迴
答案2
如果問題是軟體嘗試解析 avqs.mcafee.com,請為 avqs.mcafee.com 建立一個區域並將流量解析到黑洞盒。