Консолидация DNS, как обслуживать как внутреннюю сеть, так и интернет

Question

Консолидация DNS, как обслуживать как внутреннюю сеть, так и интернет

В настоящее время у нас есть следующая настройка. У нас есть два контроллера домена, которые также служат DNS-серверами, используемыми в качестве распознавателей локальными клиентами. У нас также есть внешние аутентичные DNS-серверы для точно такой же DNS-зоны, просто для обслуживания внешнего мира. Это приводит к ситуации, когда одну и ту же запись необходимо вводить дважды в обеих группах серверов.

Одним из очевидных решений является использование только внутренних серверов и исключение группы внешних серверов. Мы используем NAT, и все внутренние серверы имеют адрес из частных диапазонов, например. 192.168.1.0 Запросы из внешнего мира направляются на любую машину, которая необходима.

Вопрос в том, как избежать утечки внутренних адресов (которые разрешатся до 192.168...), если внутренние DNS-серверы начнут обслуживать внешние запросы?

3

networking domain-name-system windows-server-2003 internal-dns

Источник

Taras Chuhay 15 июн '09 в 12:09

3 ответа

Решение

Наличие дублированной зоны интранет / интернет называется "разделенным мозгом", и вы хорошо обрисовали плюсы и минусы. Теперь нужно выбирать по плюсам и минусам. Подсказка; Жить с дубликатами обновлений для нескольких записей, которые должны быть в Интернете.

1

Источник

James Risto 15 июн '09 в 12:13

Ответ частично зависит от используемого вами брандмауэра, так как некоторые брандмауэры позаботятся о переводе DNS для вас. Хотите ли вы полагаться на свой брандмауэр до такой степени - это большой вопрос (по крайней мере, на мой взгляд). Мне также неясно, предлагают ли все / большинство брандмауэров такую возможность, а это означает, что вы можете столкнуться с тем, что у вас есть, или хотя бы с подмножеством поставщиков после удаления внешних DNS-серверов.

Возвращаясь к вашей текущей настройке (и хлопотам делать что-то дважды), это звучит как нечто, что можно очень легко автоматизировать.

И, наконец, если вы хотите устранить лишние серверы, в зависимости от того, почему вы заинтересованы в удалении внешнего DNS-сервиса.

0

Источник

Toto 15 июн '09 в 12:42

Другие вопросы по тегам networking domain-name-system windows-server-2003 internal-dns

AudioDan 15 июн '09 в 12:45 2009-06-15 12:45 · Accepted Answer · 2009-06-15 12:45

У нас похожая настройка, но я специально держал внешний DNS на других серверах, а не внутренний DNS по соображениям безопасности. Как только вы переместите внешний DNS на тот же сервер, что и ваш внутренний, который также является Active Directory, вы должны открыть дыру для распознавателей на той же машине, которая обслуживает ваш внутренний Active Directory. Если в службе DNS возникает ошибка (как это было в прошлом), то злоумышленник может потенциально скомпрометировать вашу внутреннюю машину Active Directory. Сохраняя внутренний и внешний DNS на отдельных машинах, вам не нужно ничего открывать через брандмауэр для внутреннего DNS/Active Directory, что делает его намного безопаснее IMHO.