В нашем небольшом офисе должны быть внутренние DNS-серверы?

9

Я управляю небольшим офисом (<50 человек). У нас всегда были внутренние DNS-серверы в офисе. DNS-серверы довольно просты, но в прошлом мы сталкивались с ними. У нас есть некоторые офисные ресурсы, которые доступны только в офисе или через VPN, и у нас также есть некоторые офисные ресурсы с публичным адресом и записью. Эти ресурсы в настоящее время имеют одно и то же DNS-имя, хотя это необязательно, и их гораздо меньше, чем раньше.

У нас также уже есть пространство имен внутреннего офиса, поэтому вполне возможно, что я смогу заполнить свой общедоступный DNS всеми частными IP-адресами внутренних ресурсов офиса, которые у нас есть, и просто полностью прекратить использование внутреннего DNS.

Это хорошая идея? Я никогда не работал в месте, где нет внутреннего офиса DNS. Каковы некоторые причины, почему мы все еще должны держать это? Когда-то это было критически, теперь все еще удобно, но проблемы, с которыми мы столкнулись, больше не делают его удобным.

Текущие причины сохранить:

  • Разделенный DNS позволяет нам использовать одно и то же имя хоста для тех ресурсов, которые размещены внутри, но также доступны извне
  • У нас есть несколько тестовых доменов, которые нам не нужно было покупать, но они понадобились бы, если бы мы избавились от них.
  • ??? это знакомо и утешительно?

Причины, чтобы избавиться от этого:

  • Нет поддержки IPv6 в настоящее время
  • Было несколько проблем с разделением DNS, в основном с настройкой VPN
  • Обслуживание на сервере, которое может быть ненужным
internal-dns Аарон Р.
источник
Я думаю, вы должны принять во внимание и другие вещи, такие как количество серверов и стабильность интернет-соединения. Если вы полагаетесь на внешний DNS-сервер, что произойдет, если вы надолго потеряли подключение к Интернету? (когда информация больше не кэшируется) это означает, что ни один из ваших серверов также не сможет общаться друг с другом, и, следовательно, все службы будут недоступны. это бонус, если у вас есть локальный DNS-сервер хотя бы для кэширования и выполнения локальных разрешений.
olivierg
1
Основная причина наличия внутренних DNS-серверов, по крайней мере в сети Windows, заключается в поддержке Active Directory и домена Windows. Если у вас домен, вы не можете избавиться от DNS, интегрированного в AD. Или, по крайней мере, вы не должны в любом случае.
Appleoddity
У нас есть внутренний сервер LDAP, а не AD. DNS не интегрирован в это, хотя мне интересно, имеет ли он какую-либо взаимозависимость.
Аарон Р.
он должен иметь некоторые требования DNS, если существует несколько серверов LDAP, AD использует SRVзаписи для обнаружения службы, как и Dir389.
Джейкоб Эванс
Интересно, приятно знать. Хотя я не уверен, что это должно быть внутренним в любом случае; мне кажется, мы могли бы использовать публичный DNS для этого.
Аарон Р.

Ответы:

5

Чтение из ваших комментариев ...

Я бы на 100% держал DNS. Я бы также расширил вашу реализацию LDAP до AD. 50 человек определенно достаточно велики; Я бы внедрил DNS для> 10 пользователей, если они вообще нетехнические и имеют несколько внутренних ресурсов, к которым им нужно было получить доступ.

Что касается минусов:

  • Нет поддержки IPv6 в настоящее время

Какую платформу вы используете? Существует несколько платформ с поддержкой IPv6, а именно OpenDNS

  • Конфигурация VPN вызывает проблемы

Без обид, но, может быть, вам стоит разобраться, почему настройки VPN нарушают работу DNS, и решить эту проблему? Это лучше, чем обходной путь «Нет, внутренний DNS слишком сложен для работы с VPN!».

  • техническое обслуживание

Автоматизируйте, автоматизируйте, автоматизируйте - это не должно быть слишком сложным, если вы внимательно подходите к DNS-записям и управлению системой в целом. DNS не должен быть радикально изменен (по крайней мере, не часто).

kilrainebc
источник
1
Только около трети офиса используют Windows, поэтому я не очень заинтересован в добавлении инфраструктуры для реализации контроллера домена. Я сейчас использую Bind, который, безусловно, поддерживает IPv6, но он не был включен, и это потребовало бы времени и усилий с моей стороны; это главное направление, правда; Я подвергаю себя риску, удалив этот ресурс и используя только публичный DNS, я настраиваю себя на дальнейшую работу позже из-за какой-то будущей офисной функции, которая действительно нуждается в DNS и т. Д.
Аарон Р.
Извините - предполагалось, что все были на устройстве с Windows (хотя AD отлично работает с Linux, и я думаю, что есть и некоторые зрелые варианты для OS X). Это дизайнерские решения, которые вы должны учитывать и действовать. Если вы думаете, рост и будущие характеристики. может потребоваться больше контролируемого домена с внутренним DNS для внутренних ресурсов - затем сохраните его или, по крайней мере, подготовьте его к загрузке, если вы считаете, что он вам может понадобиться. В противном случае, вы капитан своей собственной лодки - вы знаете? Подобные вещи всегда являются компромиссом между усилием и ожидаемым вознаграждением (ями). Удачи! :)
kilrainebc
4

Сохраните внутренний DNS, при необходимости сделайте его избыточным.

  • SplitBrain DNS - беспорядок, но обычно у вас есть (много) больше внутренних записей, чем внешних. Плюс вы можете разделить ваш трафик: внутренний использует внутренние IP, внешние использует внешние.
  • AD полагается на 100% на DNS
  • Вы не зависите от DNS вашего интернет-провайдера, потому что ваш DNS сможет использовать рекурсию.
  • Вы не хотите, чтобы все могли искать ваш внутренний ресурс
  • Вы не хотите предоставлять свои внутренние ресурсы своему провайдеру (DNS-)

Вам не нужен собственный DNS, когда все просто пользуются Интернетом и вам не нужно управлять своими серверами. VPN звучит для меня как внутренние сервисы, JST Kepp их внутренние.

  • Нет поддержки IPv6 в настоящее время

Есть еще DNS-серверы без v6? Получить в курсе здесь.

  • Было несколько проблем с разделением DNS, в основном с настройкой VPN

Проблемы с конфигурацией не исчезнут, а сервис исчезнет. Вам все равно придется правильно настроить vpn, теперь включая правила пробоя для внешнего DNS-трафика.

  • Обслуживание на сервере, которое может быть ненужным

DNS обычно маленький и не нуждается в собственной коробке. Просто установите один на один из ваших надежных серверов (например, файл или почта).

bjoster
источник
1
Вы выдвигаете один из реальных вопросов, которые у меня были, возможно, тот, который был бы лучше в качестве нового вопроса, но не могли бы вы объяснить больше, что вы имеете в виду, когда говорите: «Вы не хотите, чтобы все могли искать ваши внутренние ресурсы. " Добавление частных IP-адресов в общедоступный DNS является редкостью, но действительно ли что-то не так с этим? Зачем мне беспокоиться, если хакеры могут посмотреть частные IP-адреса моей компании? Они все еще не маршрутизируются.
Аарон Р.
3
Вы не хотите давать хакеру подсказки о вашей внутренней сети в случае нарушения вашей безопасности. Утечка вашего внутреннего DNS дает подсказки о внутренней структуре сети, возможных сочных целях («Ага!» HRserver на 192.168.99.72! Спасибо! Я могу пойти прямо на это ») и т. Д.
Брэндон Ксавьер
1
Это действительно проблема, хотя? Я знаю, что в профессиональном сообществе существует общее мнение, что лучше защищать все возможные клочки информации, но я не уверен, насколько это важно. Все наши непубличные DNS могут быть запрошены, и они получат эти данные за 10 минут. Так, может быть, мы экономим 10 минут времени на взлом? Это не кажется мне очень ценным.
Аарон Р.
Ваш непубличный DNS не должен быть открыт для запросов .... Следовательно "непубличный" ...
kilrainebc
2
Технически вы можете разместить своих рядовых на публике, но технически вы также можете не носить штаны на публике (или только на этом рабочем месте). Следовательно, это возможно , никто не хочет, чтобы вы когда-либо делали это, и ни один профессиональный айтишник не стал бы.
bjoster