Windows Server(Microsoft DNS) のオープンリゾルバ対策につきましては下記をご参照ください。
Microsoft DNSのキャッシュサーバーはアクセス制限ができません。その為、コンテンツサーバーとキャッシュサーバーを2台に分ける構成として前者はDMZに、後者はLAN内に配置してください。
コンテンツサーバーとキャッシュサーバーの2台構成にする場合、コンテンツサーバーは以下の通り「再帰問い合わせの無効化」にして、外部からアクセスできるDMZに配置します。また、DMZにはドメインコントローラは配置しません。キャッシュサーバーは「再帰は有効」のまま、LAN内に配置します。
| DNSサーバー |
配置 |
処理 |
| コンテンツサーバー |
DMZ(外部からアクセス可) |
再帰問い合わせを「無効」にする |
| キャッシュサーバー |
LAN(外部からアクセス不可) |
再帰問い合わせを「有効」にする |
| Windows Server 2008RCで再帰問い合わせを無効にする方法 |
DNSを権威サーバー(コンテンツサーバー)として構築している場合は、下記のように再帰問い合わせを禁止してください。
1.DNSマネージャーを起動します。
2.該当するDNSサーバーを右クリックしてプロパティをクリックします。
3.詳細設定より、「再帰を無効にする」にチェックを入れ、OKボタンをクリックします。
4.設定を有効にする為、DNSを再起動します。該当のDNSサーバーを選択し、操作→全てのタスク→再起動をクリックします。
対策・設定完了後、DNS/NTP/SNMP/UPnPリフレクション診断ツールでチェックを行ってください。
>>DNS/NTP/SNMP/UPnPリフレクション診断ツール