最近,我们遇到了一个问题,即“特定于连接的 DNS 后缀”会自动更改为我们网络上的无效域。
当系统插入网络时,我们的 DHCP 服务器使用选项 15(DNS 域名)= our-domain.com 为其提供正确的域名后缀......这可以在使用 ipconfig /all 获取 ip 后立即验证:
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix : our-domain.com
几分钟后,一些自动发现过程会发现一个新的(错误的)特定于连接的 dns 后缀,并使用新信息更新 ip 配置。使用错误信息更新后,ipconfig /all 更改为显示:
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix : novalocal
当这个“novalocal”域被发现时,我的许多客户开始遇到名称查找问题。
Windows 7 客户端会发生这种情况,我已验证安装或未安装 Bonjour 时都会出现此问题。我还没有尝试禁用 SSDP 或 UPnP 服务。它发生在启用了 Symantec 防火墙或 Windows 防火墙的客户端上。
我确实检查了流氓 DHCP 服务器,并且报价/租约仅来自我授权的 DHCP 服务器(没有看到流氓或在网络上发送报价)。
有没有人见过这样的事情?关于如何找到这个“novalocal”的来源以及如何防止我的客户通过某些自动发现更改其 DNS 后缀设置的任何建议?
我发现了问题,这是一个流氓 DHCP 服务器。一名实习生正在试用默认配置 DHCP 服务器的“Open Stack”云系统。我猜他试图将它与网络隔离,但做得不够好,因为他的服务器和客户端之间的一些随机 DHCP 消息正在进入主网络并且只设置域名(而不是 ip)在我的客户。奇怪的是它没有响应我子网上客户端的正常 DHCP 请求,他一定是部分隔离了他的“Open Stack”流量。
我们通过 wireshark 中的数据包跟踪并在数据包详细信息中搜索字符串“novalocal”找到了它。它出现在一些 DHCP、SSDP、LLMNR 和 NBNS 数据包中,为我们提供了一些要查找的 IP 和 MAC 地址。然后我查看了我的交换机中的 mac 表以找到他的端口并讨论他的测试导致的网络问题。我们正在用一个单独的路由器隔离他的测试网络,以防止他的本地广播流量进一步泄漏到我的 LAN 上。