Hallo,
nachdem wir auf einer Linie an einem nicht unter unserer Obhut stehenden Cisco Router hängen und dieser vom Provider meist eher spät gegen bekannte Angriffe gepatcht wird, haben auf unserer Firewall forward auf Google DNS mit aktiviertem DNSSEC eingetragen.
Somit kann uns ein Hack des Routers mit port forwarding von Port 53 auf dubiose Resolver ziemlich Wurst sein - die Auflösung schlägt sofort fehl. (Das ist bei anderen Kunden dieses Providers leider schon passiert!)
Leider scheint sich aber der UCS immer wieder überhaupt nicht an unseren, in der UCR konfigurierten Forwarder (die Firewall mit DNS-Proxy) zu halten.
Währen ein Windows Server stur und problemlos über die Firewall auflöst, und höchstens bei Timeouts die Root-Server (die komplette Zone ist auf der Firewall natürlich freigegeben) - und nur diese - abfragt, passiert es beim UCS immer wieder, dass dieser munter alle Auflösungszuständigkeiten bis zum untersten Level abfragt und irgendwann bei einem “Host not found” landet.
Freigegeben sind alle Rootserver mit den aktuellen IPs (auch hier scheint UCS teilweise veraltete abzufragen), die GTLD Server, alle bekannten für Spamassassin, sowie jener von ClamAV und Google Public DNS.
Ich kenne mich mit Bind nicht so gut aus, ist es also standardkonform die Abfrage so zu gestalten, und nur die Windows Server gehen einen restriktiveren Weg?
Kann bitte jemand für mich etwas Licht in die Sache bringen?
VG,
TP