DNS区域传送必须限制在授权辅助服务器IP范围内,启用TSIG签名增强验证,辅助区域禁用动态更新并设为只读,定期核对SOA序列号及审计DNS日志。
DNS区域传送必须限制授权服务器
默认情况下,windows server dns服务允许任意客户端发起区域传送(axfr/ixfr),这会导致dns数据泄露。必须将区域传送范围严格限定在已知的辅助dns服务器ip地址列表内。在dns管理器中右键主区域 → “属性” → “区域传送”选项卡,勾选“仅以下服务器”,然后手动输入辅助服务器的ipv4或ipv6地址。不要使用“允许所有服务器”或“仅允许下列ip地址范围”这类模糊配置,后者无法精确控制且易被绕过。
启用TSIG签名增强传送身份验证
单纯靠IP白名单存在被伪造源IP攻击的风险,建议为关键区域启用TSIG(Transaction Signature)。需在主服务器和辅助服务器上创建相同的密钥(如使用dnscmd /config /tsigkey命令或PowerShell Set-DnsServerPrimaryZone 配合 -Notify 和 -SecondaryServers 参数),并在辅助区域配置中指定该密钥名称。启用后,每次区域传送请求都携带加密签名,DNS服务会校验密钥一致性,不匹配则拒绝同步。
辅助区域需禁用动态更新并设为只读
辅助DNS服务器上的区域是只读副本,不应接受任何客户端的动态更新(如DHCP自动注册)。在辅助服务器DNS管理器中,右键对应辅助区域 → “属性” → “常规”选项卡,确认“区域类型”为“辅助区域”,且“动态更新”下拉菜单显示为“不允许任何动态更新”。若误设为“非安全和安全”,可能导致辅助区被恶意篡改或与主区状态冲突。
定期验证同步状态与日志审计
- 用dnscmd /zoneinfo <域名>检查主辅服务器的SOA序列号是否一致,序列号不同说明同步延迟或失败
- 在DNS服务器事件查看器中筛选“DNS Server”日志,重点关注事件ID 4015(区域加载成功)、4013(区域传送开始)、4016(传送完成)及4515(TSIG验证失败)
- 对跨网段或跨防火墙的辅助同步,确认TCP 53端口双向可达,且Windows防火墙规则未拦截DNS服务的出站连接
