iT邦幫忙

0

dns問題

dns
fkk 2008-12-02 11:53:3110363 瀏覽

您好,
公司是用WINDOWS 2003,有一台DNS Server(也是DC),每隔幾分鐘,就會出現下列訊息,且描述內容的ip都是同一個:
來源: DNS
類型:資訊
類別:無
使用者:不適用
事件id:5504
描述: DNS 伺服器在一個來自 200.202.xxx.xx 封包中遇到一個不正確的網域名稱。 封包將被拒絕。 事件資料中包含DNS 封包。

在過一段時間之後,會出現下列警告訊息
來源: DNS
類型:警告
類別:無
使用者:不適用
事件id: 3000
描述: DNS 伺服器發生了很多執行階段事件。請檢查在這個事件發生之前的 DNS 伺服器事件日誌項目,來判定這些執行階段事件的起因。為了避免 DNS 伺服器太快填滿事件日誌,事件識別碼高於 3000 的後續事件將被抑制,直到 不再快速產生事件為止。

主管要我查詢,事件ID:5504 是那台USER電腦查詢產生的,請問我要如何才能找到是那個USER電腦查詢的,謝謝!

2 個回答

14
misadm
iT邦高手 10 級 ‧ 2008-12-03 08:46:50
最佳解答

根據您所提供的訊息,看不出來這個問題跟 User 的電腦有關係!200.202.xxx.xx 這個 IP 若是您公司的 IP 那您就應該要有辦法查出是哪台電腦。若不是您公司的 IP 那您的 DNS 很有可能暴露在整個 Internet 上。

我想說的是,從這個事件中,看不出來跟 User 的電腦有什麼樣關係,是否可再提供其他資料,否則您為何篤定這個問題是 User 的電腦所造成的呢?

您有在其他論壇中提出相同的問題,網友也都建議您參考微軟的技術文件。因此,我也是建議您先參考微軟的說明http://support.microsoft.com/kb/920162/zh-tw

看更多先前的回應...收起先前的回應...
fkk iT邦新手 5 級 ‧ 2008-12-03 10:22:16 檢舉

不好意思,公司有內外的DNS Server,這台是內部的DNS(也是網域的DC),沒有設定實體ip所以外面應該是找不到,才會懷疑是內部查詢一直產生此訊息,煩請解惑,謝謝!

misadm iT邦高手 10 級 ‧ 2008-12-03 11:04:46 檢舉

這個問題是當您查詢別人家的 DNS 時,別人家的 DNS 回應給你不合法的網域名稱,或是Windows Server 2003 無法識別的名稱時,就會記錄此事件。

您可依照微軟的說明修復 Windows Server 2003 的問題,但若別人家的 DNS 根本就設錯了名稱,那修復是沒有作用的。

確實是內部電腦查詢才產生這個事件,但這個事件並不是內部電腦的錯,而是別人的 DNS 回應錯誤的名稱給你的 DNS Server。

再說,這個問題是不需要在意的因為你根本就無法保證別人家的 DNS 設定的名稱都是正確的,所以這個事件會一直重複發生。

如果真的要完全阻止此問題,您可將事件中所提及的 IP 位置,設為防火牆的黑名單,這樣一來內部電腦就查不到該 IP(當然也上不了網),但是您確需要不斷的維護防火牆,一旦有新的事件,就要再加入一組 IP,到時候有可能 User 必要上的網站都被您封鎖了,到時怨聲四起,貴部門又淪落被責難的單位。

這個事件類型為『資訊』並非『錯誤』或『警告』,建議您,沒有必要在這類的事件上花時間,是很不符合經濟效益的。

fkk iT邦新手 5 級 ‧ 2008-12-03 12:01:49 檢舉

你好,感謝你的回答,因為這個事件一直出現,主管要我查出是那台電腦在做查詢,怕一直要求查詢那台電腦有問題,才會不斷的重覆查詢這個200.202.xxx.xx的ip,請問我要如何去查出那台電腦一直在做查詢的動作,謝謝!

misadm iT邦高手 10 級 ‧ 2008-12-03 13:39:40 檢舉

您沒有辦法直接知道是哪台電腦在做查詢的動作!但您可以將 IP 加入防火牆的黑名單,透過間接的方式,當有 User 跟你反應某某網站連不上,或是某某軟體不能用,這樣您就會知道是哪台電腦了。

但若是屬於『服務』類型的,如防毒軟體的自動更新,或是特定軟體的自動更新等等,在 User 端不會有明顯反應,所以您就沒辦法知道了!

我還是建議您不需要理會此類型的事件,畢竟只是『資訊』而已,沒什麼關係的!

10
fishk
iT邦大師 1 級 ‧ 2008-12-04 00:32:56

可以參考以下網址的說明
http://eventid.net/display.asp?eventid=5504&eventno=642&source=DNS&phase=1
產生5504這個事件的主要原因為[遇到在來自 IP_Address 封包的不正確的網域名稱,封包會被拒絕], 要查出這個問題的來源, 你可以用packet sniffer (如:Ethereal).
問題有可能是出在特定的PC發出, 也有可能是假冒網址的垃圾信所造成, 如果是垃圾信, 可以檢查一下mail queue, 將其刪除即可.

我要發表回答

立即登入回答