Недостаток использования публичного DNS в корпоративной сети
Есть ли какой-либо недостаток в использовании общедоступной службы DNS, такой как Google 8.8.8.8/8.8.4.4, для службы DNS корпоративной сети, например, в создании DNS-сервера сетевого подключения для AD DC? Кажется, что если бы не было недостатка, все предпочли бы легкий для запоминания и сервис Googlific вместо мешанины определенных провайдеров.
3 ответа
Большим недостатком является то, что многие корпорации используют зоны DNS, которые не являются публично видимыми.
Для этого важны домены AD DNS. Такие домены часто основаны на TLD, которые не существуют (пока), таких как.company, домен.local DNS и непубличные субдомены, такие как ad.us.example.com. Если у вас есть готовый компьютер, ему понадобится разрешить эти домены для работы.
Компании также, как правило, используют системы с разделенными DNS, где внутренние серверы имеют другой взгляд на example.com, чем публичные DNS-серверы. Некоторые компании могут иметь все 9 разрешаемых извне адресов в одном домене, но сотни внутри, что делает возможным ручное редактирование нескольких доступных для просмотра ресурсов на внутренних DNS-серверах. peoplesoft-ha2.example.com может разрешить внутренне, но не внешне.
И, наконец, многие используют преимущества поддоменов, которые не публикуются в Интернете в целом. Поддомены, такие как it.us.example.com, где общедоступный example.com не будет иметь никаких записей для нас. домен, но внутренние DNS-серверы будут иметь его.
Лично я люблю запускать свои собственные DNS-серверы. В основном это происходит по причинам, указанным sysadmin1138 (мы запускаем DNS с разделенным горизонтом, с большим количеством внутренних зон), а также потому, что мне нравится знать, что я не подвержен никакому странному поведению, которое материализуется в Интернете (подумайте о домашний провайдер - держу пари, когда вы заходите на http:/www.this.domain.doesnt.exist.com/, они пытаются дать вам "полезную" страницу, что означает, что их DNS возвращает что-то отличное от NXDOMAIN для несуществующих доменов).
Если у вас нет никаких причин для запуска собственного DNS-сервера, это действительно вопрос личных предпочтений:
Теоретически использование локального DNS предложит более короткое время для запросов и будет быстрее.
Практически разница может быть 1-200 мсек, и иногда Google будет быстрее (например, если у них уже есть кэшированная запись, и ей не нужно спрашивать цепочку).
Хотя это все личное мнение - оно сводится к тому, чтобы "делать то, что имеет смысл для вас и ваших клиентов".
Поскольку вы пояснили, что имеете в виду использование общедоступного DNS в качестве серверов пересылки, и я предполагаю, что в настоящее время вы используете для этого своих интернет-провайдеров, то я вижу только два недостатка.
Во-первых, как уже упоминалось, вы можете не получать записи NXDOMAIN должным образом для несуществующих доменов, а вместо этого быть непосредственно на вспомогательные сайты. Я не верю, что это делает Google, и я знаю, что OpenDNS делает это, но у него есть возможность отключить его, но его стоит проверить для любого, на кого вы смотрите.
Другая проблема заключается в том, что ваши поисковые запросы регистрируются или иным образом видны извне, и дело за вами, чтобы определить, является ли это проблемой или нет.
Тем не менее, DNS-серверы ISP также могут иметь эти недостатки. Единственный способ их обойти - это запустить свой собственный DNS-сервер (ы), который будет поддерживать большее количество серверов, или просто оставить свои DNS-серверы AD без серверов пересылки и заставить их использовать корневые ссылки. Последний почти наверняка не будет работать так же хорошо, так что это, вероятно, не лучший вариант.
Я подозреваю, что это снизится до вашей скорости, и в этом случае вам следует запустить несколько тестов с кучей DNS-запросов по нескольким различным параметрам, которые вы ищете, чтобы определить, что кажется самым быстрым из вашего местоположения.