Buộc chuyển tiếp yêu cầu DNS sang chế độ TCP

Tôi đã thiết lập máy chủ DNS trên SLES10 (hiện đang liên kết 9.6) trên máy chủ đa homed. Máy chủ này có thể được truy vấn từ tất cả các mạng nội bộ và đưa ra câu trả lời cho tất cả các mạng nội bộ. Chúng tôi có hai vùng "chính" DNS riêng biệt. Mỗi khu vực này đang được phục vụ bởi một số máy chủ Windows-DNS có thẩm quyền.

Bây giờ máy chủ linux của tôi là máy chủ DNS thứ cấp cho một trong những vùng này (vùng bên trong riêng) và đóng vai trò là người chuyển tiếp cho vùng khác (vùng bên trong công cộng).

Cho đến gần đây thiết lập này hoạt động mà không có vấn đề. Bây giờ tôi nhận được - khi truy vấn vùng bên trong công cộng (ví dụ: bằng hostlệnh trên máy khách linux) thông báo lỗi

;; Cắt ngắn, thử lại trong chế độ TCP

một wireshark-dump đã tiết lộ nguyên nhân của việc này: Truy vấn đầu tiên xuất hiện ở chế độ UDP, câu trả lời không phù hợp với UDP (do danh sách dài của NS có thẩm quyền), sau đó nó được thử lại trong chế độ TCP, đưa ra câu trả lời đúng.

Bây giờ câu hỏi: Tôi có thể định cấu hình liên kết của mình để truy vấn các bộ chuyển tiếp trong chế độ TCP mà không cần thử UDP trước không?

Cập nhật: Thử sức với ASCII-art ...

+--------------+   +--------------+   +-----------------+
| W2K8R2 DNS   |   | SLES 10 DNS  |   | W2K8R2 DNS      |
| Zone private +---+ All internal +---+ Zone public     |
| internal 2x  |   |   Zones      |   | internal 30+ x  |
+--------------+   +-+----------+-+   +-----------------+
                     |          |
                  +--+---+   +--+---+
                  |Client|   |Client|
                  +------+   +------+

Đầu tiên, tôi sẽ không gọi đó là một lỗi, chỉ là một tin nhắn thông tin.

Thứ hai, các máy chủ DNS sẽ luôn trả lời các truy vấn UDP (ít nhất là BIND, tôi không thể tìm thấy các tùy chọn để vô hiệu hóa UDP) và các máy khách sẽ luôn luôn cố gắng gửi một truy vấn UDP trước tiên (ví dụ: không có tùy chọn nào trong phân giải để thay đổi điều đó cũng không phải trong JVM) - nếu chúng phù hợp với gói UDP (yêu cầu thường làm)

Nếu bạn có trường hợp sử dụng cụ thể, bạn có thể chỉ định sử dụng TCP, ví dụ: trong tập lệnh shell sử dụng 'dig + tcp' hoặc 'host -T' để giải quyết và bạn có thể sử dụng các cuộc gọi hệ thống 'sethostent / gethostbyname / endhostent' (xem man trang) để buộc TCP trong các trường hợp khác.

Nếu bạn thực sự muốn thử và chặn UDP, tùy chọn duy nhất tôi có thể thấy là với quy tắc không thể xóa được, nhưng tôi không chắc chắn rằng thiết lập đó sẽ hoạt động. Tôi hy vọng rằng độ phân giải DNS sẽ không thành công.

Máy chủ BIND của bạn nên sử dụng EDNS (xem RFC 2671) để cho phép các gói UDP dài hơn 512 byte.

options {
    edns-udp-size 4096;
    max-udp-size 4096;
};

Điều này sẽ cho phép bộ NS lớn của bạn được truy xuất qua UDP, mà không yêu cầu chi phí kết nối TCP cho các truy vấn nhỏ khác.

Tuy nhiên, lưu ý rằng đây thực sự là các giá trị mặc định. Nếu EDNS không được sử dụng, có thứ gì đó đang chặn hoặc máy chủ nhận các tùy chọn EDNS không hỗ trợ.

Ngoài ra, lưu ý rằng hostkhông hỗ trợ EDNS. Hoàn toàn có thể là người chuyển tiếp của bạn -> truy vấn máy chủ đã sử dụng EDNS và bạn không thể thấy điều đó khi bạn thử với máy khách cục bộ của mình.

Hãy thử dig +bufsize=4096 @server hostname Athay vì sử dụng host.