将转发器DNS请求强制为TCP模式

我在多宿主服务器上的SLES10（当前绑定9.6）上设置了DNS服务器。可以从所有内部网络查询此服务器，并为所有内部网络提供答案。我们有两个单独的DNS“主”区域。每个区域都由许多权威的Windows-DNS服务器提供服务。

现在，我的linux服务器是这些区域之一（私有内部区域）的辅助DNS服务器，并充当另一个区域（公共内部区域）的转发器。

直到最近，该设置仍能正常工作。现在我得到了-在查询公共内部区域（例如，通过hostLinux客户端上的命令）时，错误消息

;; 截断，以TCP模式重试

一个Wireshark转储揭示了此问题的原因：第一个查询在UDP模式下发出，答案不适合UDP（由于权威NS列表过多），然后在TCP模式下重试，给出了正确的答案。

现在的问题是：是否 可以将绑定配置为以TCP模式查询转发器而无需先尝试UDP？

更新：尝试使用ASCII艺术...

+--------------+   +--------------+   +-----------------+
| W2K8R2 DNS   |   | SLES 10 DNS  |   | W2K8R2 DNS      |
| Zone private +---+ All internal +---+ Zone public     |
| internal 2x  |   |   Zones      |   | internal 30+ x  |
+--------------+   +-+----------+-+   +-----------------+
                     |          |
                  +--+---+   +--+---+
                  |Client|   |Client|
                  +------+   +------+

首先，我不会将其称为错误，而只是提供信息。

其次，DNS服务器将始终回答UDP查询（至少BIND，我找不到禁用UDP的选项），客户端将总是（？）尝试首先发送UDP查询（例如resolv.conf中没有用于更改该选项的选项）也不在JVM中）-如果它们适合UDP数据包（通常要求）

如果您有特定的用例，则可以指定使用TCP，例如在shell脚本中使用'dig + tcp'或'host -T'进行解析，并且可以使用系统调用'sethostent / gethostbyname / endhostent'（请参见man页）在其他情况下强制使用TCP。

如果您真的想尝试阻止UDP，我只能看到一个iptable规则，但是我不确定该设置是否可行。我希望DNS解析只会失败。

您的BIND服务器应使用EDNS（请参阅RFC 2671）以允许UDP数据包长于512字节。

options {
    edns-udp-size 4096;
    max-udp-size 4096;
};

这应该允许您的大型NS集可以通过UDP检索，而对于其他较小的查询则不需要TCP连接的开销。

但是请注意，这些实际上是默认值。如果未使用EDNS，则可能是某种原因阻止了它，或者接收EDNS选项的服务器不支持它。

另外，请注意，host它不支持EDNS。您的转发器->服务器查询很可能已经在使用EDNS，并且在尝试使用本地客户端时完全看不到它。

尝试dig +bufsize=4096 @server hostname A使用而不是host。