Fórum Root.cz

Hlavní témata => Windows a jiné systémy => Téma založeno: rusty 23. 07. 2021, 15:57:28

Název: DNS server s DNSSEC na W2K19
Přispěvatel: rusty 23. 07. 2021, 15:57:28: Ahoj,

na W2019 provozuji AD+DNS server. Úplně původně to běželo tuším na W2008 a postupně se upgradovalo.

DNS funguje korektně, něž zapnu ověřování DNSSEC.
Udělám to příkazem
Kód: [Vybrat]
dnscmd.exe /config /enablednssec1V ten moment se dns začne chovat podivně. Když brouzdám na klientské stanici, tak se po pár minutách stane, že se nenačte třeba stránka lupa.cz
Když v ten moment udělám nslookup na klienstké stanici, tak se mi vrátí záznam jen pro ipv6. Když se v ten moment podívám na dns cache na serveru, tak tam jsou veškeré záznamy vidět i pro ipv4.
Po pár minutách bez jakéhokoli zásahu se to umoudří a nslookup vrátí záznam i pro ipv4.

Dle návodů není potřeba nic dalšího dělat, než dnssec zapnout. Pro jistotu jsem i aktualizoval/kontroloval root anchors.
Vnitřní doména nemusí být podepsaná, aby fungovalo vzdálené ověřování dnssec ne?

Server i klient jsou ve stejném subnetu. Internetová přípojka je na ipv4 i ipv6 a šestky jsou v síti aktivní.
Nemůže to být nějaká restrikce na firewallu? Dnssec komunikuje výhradně po tcp, tak jestli tam nění potřeba nějaké výjimky. Ale vzhledem k tomu, že jsou záznamy v cachi, tak mi to nepřijde pravděpodobné. Ledaže by se to pokaždé ještě znovu ptalo ven.

děkuji
Název: Re:w2k19 dns server a dnssec
Přispěvatel: IDontCare 23. 07. 2021, 19:05:06: Tak si proste pust na stanici Wireshark a celou tu problemovou situaci si krasne odchytis a zjistis presne co odeslo a presne co se vratilo. Z tveho popisu se jaksi neni ceho chytit. Tu komunikaci sem muzes pak prilozit..
Název: Re:w2k19 dns server a dnssec
Přispěvatel: messagebus 23. 07. 2021, 20:24:21: Nekteri bigoti se taky divaji do logu. Je to nemoderni, ale obcas pomuze :)
Název: Re:w2k19 dns server a dnssec
Přispěvatel: IDontCare 23. 07. 2021, 20:48:08: Citace: messagebus 23. 07. 2021, 20:24:21
Nekteri bigoti se taky divaji do logu. Je to nemoderni, ale obcas pomuze :)
Jeste nikdy jsem z logu windows nevycetl neco co by pomohlo, ale treba se ve 2019 serveru neco zmenilo.. ;)
Název: Re:w2k19 dns server a dnssec
Přispěvatel: messagebus 23. 07. 2021, 21:26:38: Citace: IDontCare 23. 07. 2021, 20:48:08
Jeste nikdy jsem z logu windows nevycetl neco co by pomohlo, ale treba se ve 2019 serveru neco zmenilo.. ;)

Ja jo a ne jednou.
Název: Re:w2k19 dns server a dnssec
Přispěvatel: IDontCare 23. 07. 2021, 21:32:57: Citace: messagebus 23. 07. 2021, 21:26:38
Citace: IDontCare 23. 07. 2021, 20:48:08
Jeste nikdy jsem z logu windows nevycetl neco co by pomohlo, ale treba se ve 2019 serveru neco zmenilo.. ;)

Ja jo a ne jednou.

V pohode, ja to nevyvracim. Uvidime s cim prijde tazatel. Osobne si myslim, ze u z neprijde ;).
Název: Re:w2k19 dns server a dnssec
Přispěvatel: messagebus 23. 07. 2021, 21:44:52: Citace: IDontCare 23. 07. 2021, 21:32:57
V pohode, ja to nevyvracim. Uvidime s cim prijde tazatel. Osobne si myslim, ze u z neprijde ;).

Nevedel jsem, ze tento konkretni pripad je definitivnim a nevyvratitelnym testem na uzitecnost logu windows.