DNS server s DNSSEC na W2K19

DNS server s DNSSEC na W2K19
« kdy: 23. 07. 2021, 15:57:28 »
Ahoj,

na W2019 provozuji AD+DNS server. Úplně původně to běželo tuším na W2008 a postupně se upgradovalo.

DNS funguje korektně, něž zapnu ověřování DNSSEC.
Udělám to příkazem
Kód: [Vybrat]
dnscmd.exe /config /enablednssec1V ten moment se dns začne chovat podivně. Když brouzdám na klientské stanici, tak se po pár minutách stane, že se nenačte třeba stránka lupa.cz
Když v ten moment udělám nslookup na klienstké stanici, tak se mi vrátí záznam jen pro ipv6. Když se v ten moment podívám na dns cache na serveru, tak tam jsou veškeré záznamy vidět i pro ipv4.
Po pár minutách bez jakéhokoli zásahu se to umoudří a nslookup vrátí záznam i pro ipv4.

Dle návodů není potřeba nic dalšího dělat, než dnssec zapnout. Pro jistotu jsem i aktualizoval/kontroloval root anchors.
Vnitřní doména nemusí být podepsaná, aby fungovalo vzdálené ověřování dnssec ne?

Server i klient jsou ve stejném subnetu. Internetová přípojka je na ipv4 i ipv6 a šestky jsou v síti aktivní.
Nemůže to být nějaká restrikce na firewallu? Dnssec komunikuje výhradně po tcp, tak jestli tam nění potřeba nějaké výjimky. Ale vzhledem k tomu, že jsou záznamy v cachi, tak mi to nepřijde pravděpodobné. Ledaže by se to pokaždé ještě znovu ptalo ven.

děkuji
« Poslední změna: 23. 07. 2021, 20:53:20 od Petr Krčmář »


Re:w2k19 dns server a dnssec
« Odpověď #1 kdy: 23. 07. 2021, 19:05:06 »
Tak si proste pust na stanici Wireshark a celou tu problemovou situaci si krasne odchytis a zjistis presne co odeslo a presne co se vratilo. Z tveho popisu se jaksi neni ceho chytit. Tu komunikaci sem muzes pak prilozit..

Re:w2k19 dns server a dnssec
« Odpověď #2 kdy: 23. 07. 2021, 20:24:21 »
Nekteri bigoti se taky divaji do logu. Je to nemoderni, ale obcas pomuze :)

Re:w2k19 dns server a dnssec
« Odpověď #3 kdy: 23. 07. 2021, 20:48:08 »
Nekteri bigoti se taky divaji do logu. Je to nemoderni, ale obcas pomuze :)
Jeste nikdy jsem z logu windows nevycetl neco co by pomohlo, ale treba se ve 2019 serveru neco zmenilo.. ;)

Re:w2k19 dns server a dnssec
« Odpověď #4 kdy: 23. 07. 2021, 21:26:38 »
Jeste nikdy jsem z logu windows nevycetl neco co by pomohlo, ale treba se ve 2019 serveru neco zmenilo.. ;)

Ja jo a ne jednou.


Re:w2k19 dns server a dnssec
« Odpověď #5 kdy: 23. 07. 2021, 21:32:57 »
Jeste nikdy jsem z logu windows nevycetl neco co by pomohlo, ale treba se ve 2019 serveru neco zmenilo.. ;)

Ja jo a ne jednou.

V pohode, ja to nevyvracim. Uvidime s cim prijde tazatel. Osobne si myslim, ze u z neprijde ;).

Re:w2k19 dns server a dnssec
« Odpověď #6 kdy: 23. 07. 2021, 21:44:52 »
V pohode, ja to nevyvracim. Uvidime s cim prijde tazatel. Osobne si myslim, ze u z neprijde ;).

Nevedel jsem, ze tento konkretni pripad je definitivnim a nevyvratitelnym testem na uzitecnost logu windows.