我几乎开箱即用的Windows 2003服务器也是一些用户的域名服务器。 我应该担心5月5日在根名称服务器上部署dnssec吗?
我已经运行:
dnscmd /Config /EnableEDnsProbes 1 非常感谢!
PS。 我的防火墙/networking基础设施不会阻止> 512B的udp数据包
我成熟的testing结果:
宣布的缓冲区大小:1280字节
测量的缓冲区大小:1259字节
启用EDNS:是的
启用DNSSEC:否
您的parsing器没有启用DNSSEC。
注意:由于使用的algorithm,缓冲区大小的公布和测量结果之间总会有差异。 但是这个差别不应该超过300个字节。
ps#2
这是主动的目录服务器,所以它有dns服务是权威的dns服务器为一些内部的dns区域[不使用公共互联网]。 这个服务器也被用作一些内部用户的recursion名字服务器。
从你所说的我假设这是一个recursion的服务器,而不是一个权威的服务器。
从细节给出,你应该没有问题。 您的networking显然支持> 512字节的响应,并且您的服务器支持EDNS0。
无论如何,如果您的服务器将查询发送到设置了DO位(DNSSEC OK)的外部服务器,您将只会遇到问题。
如果没有这个标志,从根服务器(和任何其他权威服务器)的所有响应将在5月5日和DNSSEC之前完全一样。
你应该检查的唯一的事情是你的networking允许出站DNS查询通过TCP工作 – 所以永远不要在你的防火墙上阻塞出站tcp / 53。
如果您需要更多的帮助,请询问。 我是有关此问题的各种ICANN和IETF文档的作者。
我认为只有两件事情适用于你的情况,你才需要担心:
您使用根提示服务器而不是转发器
您的防火墙阻止大于512字节的DNS UDP数据包
我知道我的防火墙不支持大于512字节的DNS UDP数据包,所以我已经从使用根提示服务器切换到使用Google的公共DNS服务器进行外部DNS查询。
我认为最好的办法就是尝试一下Ripe 在这里解释,然后你可能会看到你是否需要在你的服务器或防火墙上做任何事情。 从我的angular度来看,其他一切都是猜测。
如果你的用户通过路由器自己连接,他们也应该尝试testing,不pipeDNS查询是否工作。 我有一个Fritz路由器,我需要应用一个解决方法,因为路由器只支持最多512字节的DNS软件包。