问题[dns-server](server)

我的网络中有一个自定义 DNS 服务器，我希望所有客户端都使用它（它有广告过滤器等，类似于 PiHole）。

我已将路由器 (LinkSys Velop) 设置为使用此 DNS 服务器。但是，在 DNS 服务器的管理页面上，我只看到路由器执行 DNS 查询，而不是客户端。我会假设路由器（迟早）会告诉客户端使用特定的 DNS 服务器。尽管重新启动客户端（并执行各种其他网络重置操作ipconfig /flushdns等，但它们似乎并没有直接访问 DNS 服务器：只有路由器可以访问。

到目前为止，我可以让客户端直接访问 DNS 服务器的唯一方法是在客户端网络配置中手动输入 DNS 服务器。

所以问题：

• 这是预期的行为吗？
• （或仅我的？）路由器中的 DNS 设置是否只是让路由器继续“充当”DNS 服务器并将请求重定向到设置的 IP 地址，然后将结果发回？
• 我该怎么做才能让客户端将特定的 IP 地址设置为 DNS 服务器？我必须设置自己的 DHCP 服务器吗？
• 通常的（例如 CentOS 中的 ISC DHCP？）linux DHCP 服务器会告诉客户端使用哪个 DNS 服务器，还是它们也只是转发请求？

谢谢！

我正在通过学​​习和设置一个非常标准的 Windows Server 2019（Essentials 版）来工作，作为一个非常小的网络的 AD PDC、DNS-和 DHCP 服务器。我按照一些指南（比如这个或这个）来完成各个步骤。我已经配置了一个静态 IPv4 地址（禁用 IPv6），添加了 AD、DNS 和 DHCP 角色，配置了 AD（按照向导使用基本默认设置），向 DNS 添加了一个反向查找区域，并使用初始范围授权和配置了 DHCP。

客户端能够获取 IP 地址，并且可以 nslookup/resolve 外部名称（如 serverfault.com）以及服务器本身。

但是，服务器和任何客户端都不能 nslookup/resolve 任何客户端名称。它们确实显示为 DHCP 区域中的租约，我认为是正确的名称（如 winclient.DOMAIN.XXX），但 nslookup 返回

Server:  UnKnown
Address:  192.168.2.1    (<-this is the server's IP address)

*** localhost can't find winclient: Non-existent domain

服务器上的唯一区别是它显示服务器：localhost 和地址：127.0.0.1。

我完全不知道可能出了什么问题-特别是因为我很确定我确实遵循了指南并且自己没有添加任何内容。

任何帮助将非常感激。

我想根据 Microsoft.com 的说明添加两条 CNAME 记录，以使我的 Microsoft 交换符合 DKIM。

添加这两个 CNAME 记录是否有可能会干扰人们发送电子邮件作为交换？

微软识别 DKIM 的 CNAME 记录更新也很慢，所以我可能需要等待 72 小时，直到微软识别 DKIM 的 CNAME。

我已使用此方法在我的 DNS 服务器（操作系统：Windows server core 2019）中禁用了DNS 递归 Disable DNS recursion，我也在我的 DNS 服务器中执行了此命令PowerShell

Set-DnsServerRecursion -Enable $False
Clear-DnsServerCache 

但是当我跑步时

nslookup 'some random domain' 'My dns server IP Address'

在我的电脑中，它的答案是这样的：

Non-authoritative answer:
Name: some domain name
Address: IP address

但实际上应该是*** UnKnown can't find some domain name: Query refused

我做错了什么？有什么帮助吗？

我已按照以下说明在远程服务器上安装了 DNS 服务器和网络管理器：https ://www.linuxtechi.com/setup-bind-server-centos-8-rhel-8/ ，如下所示：

var/named/fwd.sssss.com.db：

$TTL 86400
@   IN  SOA     ns1.sssss.com. root.sssss.com. (
                                              1490        ;Serial
                                              3600        ;Refresh
                                              1800        ;Retry
                                              604800      ;Expire
                                              86400       ;Minimum TTL
)

;Name Server Information
@       IN  NS      ns1.sssss.com.
@       IN  NS      ns2.sssss.com.



;IP address of Name Server
ns1       IN  A       94.130.98.33
ns2       IN  A       94.130.98.33
sssss.com.       IN  MX   10    mail.sssss.com.

;A - Record HostName To Ip Address
sssss.com.     IN  A       94.130.98.33
www             IN  A       94.130.98.33
mail            IN  A       94.130.98.33
@               IN  A       94.130.98.33

;CNAME record
ftp     IN CNAME        www.sssss.com.

var/named/sssss.com.rev：

$TTL 86400
@   IN  SOA     ns1.sssss.com. root.sssss.com. (
                                       1490        ;Serial
                                       3600        ;Refresh
                                       1800        ;Retry
                                       604800      ;Expire
                                       86400       ;Minimum TTL
)

;Name Server Information
@       IN  NS          ns1.sssss.com.
@       IN  NS          ns2.sssss.com.
ns1     IN  A           94.130.98.33
ns2     IN  A           94.130.98.33


;Reverse lookup for Name Server
33      IN  PTR         ns1.sssss.com.
33      IN  PTR         ns2.sssss.com.
33.98.130.94.in-addr.arpa    IN  PTR         ns1.sssss.com.
33.98.130.94.in-addr.arpa    IN  PTR         ns2.sssss.com.

;PTR Record IP address to HostName
33      IN  PTR         www.sssss.com.
33      IN  PTR         sssss.com.
33      IN  PTR         mail.sssss.com.
33.98.130.94.in-addr.arpa    IN  PTR         www.sssss.com.
33.98.130.94.in-addr.arpa    IN  PTR         sssss.com.
33.98.130.94.in-addr.arpa    IN  PTR         mail.sssss.com.

等/named.conf：

//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

options {
        //listen-on port 53 { 127.0.0.1; };
        //listen-on-v6 port 53 { ::1; };
        listen-on port 53 { 127.0.0.1; 94.130.98.33; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        secroots-file   "/var/named/data/named.secroots";
        recursing-file  "/var/named/data/named.recursing";
        allow-query     { localhost; 94.130.98.33; };

        /*
         - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
         - If you are building a RECURSIVE (caching) DNS server, you need to enable
           recursion.
         - If your recursive DNS server has a public IP address, you MUST enable access
           control to limit queries to your legitimate users. Failing to do so will
           cause your server to become part of large scale DNS amplification
           attacks. Implementing BCP38 within your network would greatly
           reduce such attack surface
        */
        recursion yes;

        dnssec-enable yes;
        dnssec-validation yes;

        managed-keys-directory "/var/named/dynamic";

        pid-file "/run/named/named.pid";
        session-keyfile "/run/named/session.key";

        /* https://fedoraproject.org/wiki/Changes/CryptoPolicy */
        include "/etc/crypto-policies/back-ends/bind.config";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
        type hint;
        file "named.ca";
};
//forward zone
zone "sssss.com" IN {
        type master;
        file "fwd.sssss.com.db";
        allow-update { none; };
        allow-query  { any; };
};

//backward zone
zone "98.130.94.in-addr.arpa" IN {
        type master;
        file "sssss.com.rev";
        allow-update { none; };
        allow-query  { any; };
};

/etc/sysconfig/network-scripts/ifcfg-enp0s3：

# Generated by parse-kickstart
TYPE="Ethernet"
DEVICE="enp0s3"
UUID="467a30cc-f47a-4c63-a335-f8afab26f559"
ONBOOT="yes"
IPADDR0="94.130.98.33"
BOOTPROTO=dhcp
IPV6INIT="no"
DNS=94.130.98.33

等/resolv.conf：

# Generated by NetworkManager
search sssss.com
nameserver 94.130.98.33

Nginx 在我的服务器地址上工作：94.130.98.33 但我的域不起作用！

编辑：这是dig @94.130.98.33 sssss.com any（真正的域名是sssss而不是sssss：

; <<>> DiG 9.11.13-RedHat-9.11.13-5.el8_2 <<>> @94.130.98.33 sssss.com any
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54410
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 4

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: c279563b1d3fe85ccebd7b085f4a20a5d456e6e90441bac5 (good)
;; QUESTION SECTION:
;sssss.com.                    IN      ANY

;; ANSWER SECTION:
sssss.com.             86400   IN      SOA     ns1.sssss.com. root.sssss.com. 1490 3600 1800 604800 86400
sssss.com.             86400   IN      NS      ns2.sssss.com.
sssss.com.             86400   IN      NS      ns1.sssss.com.
sssss.com.             86400   IN      MX      10 mail.sssss.com.
sssss.com.             86400   IN      A       94.130.98.33

;; ADDITIONAL SECTION:
ns1.sssss.com.         86400   IN      A       94.130.98.33
ns2.sssss.com.         86400   IN      A       94.130.98.33
mail.sssss.com.        86400   IN      A       94.130.98.33

;; Query time: 1 msec
;; SERVER: 94.130.98.33#53(94.130.98.33)
;; WHEN: Sat Aug 29 11:32:21 CEST 2020
;; MSG SIZE  rcvd: 229

我阅读了https://www.rfc-editor.org/rfc/rfc2606和https://www.rfc-editor.org/rfc/rfc6761，但我仍然没有得到一些细节。为什么https://www.rfc-editor.org/rfc/rfc2606没有明确说明我们应该为保留域返回哪个响应代码？https://www.rfc-editor.org/rfc/rfc6761的目的是添加更多详细信息吗？

在https://www.rfc-editor.org/rfc/rfc6761中，他们说：

相反，默认情况下，缓存 DNS 服务器应该为所有此类查询生成立即否定响应

负数是 NXDOMAIN 还是 REFUSED？还是由开发商决定？在同一个 RFC 的开头，是这样写的：

要使这个特殊的“保证不存在”名称有任何用途，必须将其定义为返回 NXDOMAIN

在这里适用吗？我不清楚他们为什么使用“负面反应”一词。另外，这个 RFC 在现实世界中实现了吗？看起来 dig 仍在查询这些保留域的根服务器。

http 是否推荐使用 SRV/service records 资源记录？

在 http 中使用它们有什么明显的优点或缺点吗？

我目前有两台面向公众的 DNS 服务器同时运行，它们共享相同的公共 IP 地址。我需要它们都可以通过 TCP/UDP 端口 53 访问。

我在想，由于它们各自为不同的 DNS 区域提供服务，我可以简单地配置一个以将有关另一个区域的请求转发到另一台服务器，有点像 Web 服务器使用的基于名称的反向代理。我考虑过使用另一台服务器的本地 IP 来使用 NS 记录，但我不太确定这是否会按照我想要的方式工作。

问题：

1. 这可能吗？
2. 如果是这样，我该如何在 BIND 服务器（Ubuntu 服务器操作系统）上执行此操作？

我们有 具有静态 IP 的Linux机器，一些使用Centos和其他Debian，使用为开发和测试保留的 IP 范围。

我们需要这个盒子将他们的 DNS “发布”到 DNS Server 2008R2 中，无需管理员或人工干预。

这些主机的主机名已正确配置，但它们不会将自己注册到 DNS，因此我无法使用它们的主机名访问它们。

在 Windows 机器上，此过程是自动的，您可以使用 强制重新注册ipconfig /registerdns。我们有 Linux 系列的等价物吗？

这个想法是让这些主机自动在 DNS 服务器上为自己添加一个条目，这样我就可以使用它们的主机名访问它们。

RFC 2136 `域名系统中的动态更新 (DNS UPDATE)' 定义了协议。

我有一个包含 3 个 AD 服务器的网络，这些服务器也运行 DNS 服务。

我们有一个从 Windows DNS 迁移到新的交钥匙 DDI 解决方案的项目。

我正在检查我能想到的所有内容，并手动更改其 DNS 客户端配置以指向新服务器的新 IP 地址。

我想要做的是将原来的 3 个 AD/DNS 服务器转换为仅转发服务器，以便它们将所有查询发送到新的 DNS 服务器，并将入站查询记录到它们（这样我就可以找出仍然需要更改的内容）。

我无法找到有关将 Windows DNS 服务器转换为仅转发而不实际解析查询本身的说明。

这是一个生产系统，所以我必须小心我对它所做的事情。- 例如，我无法更改 DC 的 IP 地址。

有任何想法吗？