Küçük ofisimizde dahili DNS sunucuları olmalı mı?

9

Küçük bir ofis işletiyorum (<50 kişi). Ofiste her zaman dahili DNS sunucularımız vardı. DNS sunucuları oldukça basittir, ancak geçmişte onlarla sorun yaşadık. Yalnızca ofiste veya harici olarak VPN üzerinden kullanılabilen bazı ofis kaynaklarımız var ve ayrıca genel adres ve kayıt içeren bazı ofis kaynaklarımız var. Bu kaynaklar şu anda aynı DNS adına sahip olmakla birlikte, bu mutlaka bir gereklilik değildir ve bunlardan çok daha azı vardır.

Ayrıca zaten dahili ofis ad alanına sahibiz, bu yüzden genel DNS'imi sahip olduğumuz dahili ofis kaynaklarının tüm özel IP adresleriyle doldurabilir ve dahili DNS'yi kullanmayı tamamen durdurabilirim.

Bu iyi bir fikir mi? Dahili ofis DNS'si olmayan bir yerde hiç çalışmadım. Hala devam etmemizin bazı nedenleri nelerdir? Bir zamanlar kritikti, şimdi hala uygun, ama karşılaştığımız problemler artık daha rahat hissettirmiyor.

Mevcut Nedenler:

  • Bölünmüş DNS, dahili olarak barındırılan ancak harici olarak da kullanılabilen kaynaklar için aynı ana bilgisayar adını kullanmamızı sağlar
  • Satın almamız gerekmeyen, ancak onlardan kurtulduğumuz takdirde yapmamız gereken birkaç test alanımız var
  • ??? tanıdık ve rahatlatıcı mı?

Bundan kurtulmanın nedenleri:

  • Şu anda IPv6 Desteği yok
  • DNS'nin bölünmesiyle, çoğunlukla VPN yapılandırmasıyla ilgili çeşitli sorunlar yaşadınız
  • Gerekli olmayan bir sunucuda bakım
internal-dns 
Aaron R.
kaynak
sahip olduğunuz sunucu sayısı ve internet bağlantısının istikrarı gibi diğer şeyleri de dikkate almanız gerektiğini düşünüyorum. harici bir DNS sunucusuna güveniyorsanız, internet bağlantınızı uzun süre kaybederseniz ne olur? (artık hiçbir bilgi önbelleğe alınmadığında) sunucularınızın hiçbirinin birlikte iletişim kuramayacağı ve bu nedenle tüm hizmetlerin devre dışı kalacağı anlamına gelir. en azından önbelleğe almak ve yerel çözünürlükleri gerçekleştirmek için yerel bir DNS sunucusuna sahip olmak bir bonus.
olivierg
1
En azından bir Windows ağında dahili DNS sunucularına sahip olmanın başlıca nedeni, Active Directory ve bir Windows etki alanını desteklemektir. Bir alan adı çalıştırıyorsanız, AD ile tümleşik DNS'nizden kurtulamazsınız. Ya da en azından hiçbir şekilde yapmamalısın.
Başvuru
AD değil dahili bir LDAP sunucumuz var. DNS buna entegre değil, ancak herhangi bir bağımlılığı olup olmadığını merak ediyorum.
Aaron R.
birden fazla LDAP sunucusu varsa, AD, SRVhizmet keşfi için kayıtları kullanır , Dir389 da bazı dns gereksinimlerine sahip olmalıdır.
Jacob Evans
İlginç, bilmek güzel. Her durumda içsel olması gerekeceğinden emin olmasam da; bana öyle geliyor ki bunun için genel DNS kullanabiliriz.
Aaron R.

Yanıtlar:

5

Yorumlarınızdan okunuyor ...

% 100 DNS tutardı. Ayrıca LDAP uygulamanızı AD'ye de genişletirim. 50 kişi kesinlikle yeterince büyük; Teknik olmayan ve erişmek için ihtiyaç duydukları birden fazla dahili kaynağa sahip olmaları durumunda,> 10 kullanıcı için DNS'yi uygularım.

Eksileri hakkında:

  • Şu anda IPv6 Desteği yok

Hangi platformu kullanıyorsunuz? IPv6 destekli birden çok platform var - OpenDNS

  • VPN yapılandırması sorunlara neden oluyor

Suç işlemek gerekmez , ancak VPN yapılandırmalarının neden DNS'yi bozduğunu ve bunu çözdüğünü düşünmelisiniz ? "Hayır, dahili DNS VPN ile çalışmak için çok karmaşık!"

  • bakım

Otomatikleştirin, otomatikleştirin, otomatikleştirin - DNS girişlerine ve bir bütün olarak sistem yönetimine akıllı bir yaklaşım uyguladığınız sürece çok zor olmamalıdır. DNS kökten değiştirilmemelidir (en azından sık olmamalıdır).

kilrainebc
kaynak
1
Ofisin yalnızca üçte biri Windows kullanıyor, bu yüzden bir etki alanı denetleyicisi uygulamak için daha fazla altyapı eklemekle ilgilenmiyorum. Şu anda kesinlikle IPv6'yı destekleyen Bind kullanıyorum, ancak etkinleştirilmedi ve bu benim için zaman ve çaba gerektirecek; esas itici güç budur; Kendimi bu kaynağı kaldırma ve yalnızca Herkese Açık DNS kullanma riskine sokuyor muyum, gelecekte DNS, vb.
Aaron R.
Üzgünüm - herkesin bir Windows cihazında olduğu varsayıldı (AD Linux ile iyi çalışıyor olsa da, OS X için de bazı olgun seçenekler olduğunu hayal ediyorum). Bunlar, düşünmeniz ve üzerinde işlem yapmanız gereken tasarım kararlarıdır. Eğer büyüme ve gelecek özellikleri düşünüyorsanız. dahili kaynaklar için dahili DNS'ye sahip daha fazla denetimli bir etki alanına ihtiyaç duyabilir; daha sonra bu etki alanını saklayın veya ihtiyacınız olabileceğini düşünüyorsanız en azından önyüklemeye hazır hale getirin. Aksi takdirde, kendi teknenizin kaptanısınız - biliyor musunuz? Bu tür şeyler her zaman çaba ile beklenen ödül (ler) arasında bir değiş tokuştur. İyi şanslar! :)
kilrainebc
4

Dahili DNS'yi saklayın, gerekirse yedekleyin.

  • SplitBrain DNS bir karışıklıktır, ancak genellikle harici kayıtlara göre çok daha fazla dahili kayıtlarınız vardır. Ayrıca trafiğinizi bölebilirsiniz: dahili, dahili IP'leri, harici olarak harici olanları kullanır.
  • AD DNS'ye% 100 güveniyor
  • DNS'in özyinelemeyi kullanabileceği için ISS'nizin DNS'sine bağımlı değilsiniz.
  • Herkesin iç kaynaklarınızı arayabilmesini istemezsiniz
  • (DNS-) ISS'nize dahili kaynak sağlamak istemezsiniz

Herkes interneti kullanırken ve kendi sunucularınızı yönetmek zorunda olmadığınızda kendi DNS'inize ihtiyacınız yoktur. VPN bana dahili servisler gibi geliyor, sadece dahili kepp.

  • Şu anda IPv6 Desteği yok

Hala v6 olmayan DNS Sunucuları var mı? Buradan haberdar olun.

  • DNS'nin bölünmesiyle, çoğunlukla VPN yapılandırmasıyla ilgili çeşitli sorunlar yaşadınız

Yapılandırma sorunları, bir hizmet kullanımdan kaldırılmayacak. Artık harici DNS trafiği için koparma kuralları da dahil olmak üzere, vpn'nizi doğru şekilde ayarlamanız gerekecektir.

  • Gerekli olmayan bir sunucuda bakım

DNS genellikle küçüktür ve kendi kutusuna ihtiyacı yoktur. Güvenilir sunucularınızdan birine (dosya veya posta gibi) bir tane kurmanız yeterlidir.

bjoster
kaynak
1
Sahip olduğum gerçek sorulardan birini, belki de yeni bir soru olarak daha iyi olacak bir soru ortaya çıkarıyorsunuz, ancak "Herkesin iç kaynaklarınıza bakmasını istemiyorsunuz" derken ne demek istediğinizi daha fazla açıklayabilir misiniz? " Genel DNS'ye özel IP adresleri eklemek nadirdir, ancak bununla ilgili gerçekten bir sorun mu var? Bilgisayar korsanlarının şirketimin özel IP adreslerini arayabilmelerini neden umurumda olsun ki? Hala yönlendirilemezler.
Aaron R.
3
Güvenliğiniz ihlal edildiğinde bir bilgisayar korsanına dahili ağınız hakkında herhangi bir ipucu vermek istemezsiniz. Dahili DNS'nizi sızdırmak dahili ağ yapısı, olası sulu hedefler hakkında ipuçları verir ("Aha!" HRserver 192.168.99.72'de! Teşekkürler! Bunun için dümdüz gidebilirim "), vb.
Brandon Xavier
1
Bu gerçekten endişe verici mi? Meslek camiasında, olası her bilgi parçasını korumanın daha iyi olduğuna dair genel bir duygu olduğunu biliyorum, ancak bunun ne kadar kritik olduğundan emin değilim. Herkese açık olmayan tüm DNS'lerimiz sorgulanabilir ve bu verileri 10 dakika içinde alırlar. Belki de 10 dakika değerinde bilgisayar korsanlığı vaktinden tasarruf ediyoruz? Bu benim için çok değerli görünmüyor.
Aaron R.
Herkese açık olmayan
DNS'niz
2
Teknik olarak siz yapabilirsiniz herkese gösterme er koymak, ama teknik aynı zamanda kamu (ya da sadece bu işyerinde) hiçbir pantolon giyebilirim. Bu yüzden mümkün , hiç kimse bunu yapmanı istemiyor ve bu yüzden hiçbir profesyonel IT adamı yapmıyor.
bjoster
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.