05. november 2004 - 12:20Der er
4 kommentarer og 2 løsninger
Windows 2003 DNS og forwarders
For et par måneder siden skiftede vi vores gamle Windows NT 4.0 baserede server ud med en ny med Windows 2003.
En af serverens opgaver er at fungere som intern DNS-server der forwarder sine forespørgsler til Tiscalis DNS-servere. Under Windows NT fungerede det ved at den interne og eksterne DNS-server kommunikerede via UDP med både source- og destinationport 53.
Under Windows 2003 lader det til at kommunikationen både bruger TCP og UDP, med sourceport over 1023 og destinationport 53. Det er ikke noget problem, men hvad er grunden til denne ændring?
Desuden er den interne DNS-server begyndt af-og-til at ville kontakte flere andre servere end Tiscalis på port 53. Hvorfor, når de ikke er defineret som forwarders?
Normalt køres udp, men hvis overførslen bliver større end 512 bytes trunkeres en bit og forespørgslen genfremsættes, denne gang på port 53 tcp. Zone transfers kører altid via tcp da det er væsentligt at al data kommer frem. Mht port 1023 så skal jeg lige undersøge det først, jeg kan ikke på stående fod gennemskue hvorfor denne bruges
Normalt er port 1023 den første efemeral port, den kan bruges til remote print over LPT
Hvis din DNS server kontakter andre servere/hosts kan det være snavs. port 53 og DNS er et yndet mål, dels fordi DNS serveren indeholder masser af gode oplysninger og dels fordi mange firewalls er lidt løst konfigureret omkring netop port 53. Du bør kun obne for trafik UDP og TCP til port 53 hvor source eller destination adressen er primær eller sekundær DNS server. Så kan den nemlig ikke udnyttes til andet end DNS trafik
på et tidspunkt blev det besluttet, at source port ikke længere skulle være 53 (priviliged port) men over 1023 (brug en unprivileged port) - og det er generelt blev implementeret - også i named (bind).
Det er muligt at "låse" på source port 53, hvis det er nødvendigt.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.