Active Directory chuyển tiếp OpenDNS

2

Tôi hiện đã thiết lập DNS Windows của mình để chuyển tiếp tới OpenDNS. Tuy nhiên, tất cả lưu lượng truy cập trong OpenDNS hiển thị từ IP của máy chủ DNS Windows cục bộ của tôi. Có cách nào tôi có thể làm cho các thiết bị riêng lẻ tìm đến DNS cục bộ không và nếu chúng không tìm thấy những gì chúng đang tìm kiếm, hãy xem OpenDNS. Theo cách này - OpenDNS sẽ tự nhìn thấy các thiết bị chứ không chỉ Windows DNS Server. Hoặc có cách nào để có DNS công cộng và DNS riêng không?

Tất cả các thiết bị của tôi không chia sẻ một IP duy nhất - nhưng DNS đang mở sẽ thấy các yêu cầu dns đến từ máy chủ DNS cục bộ của chúng tôi được yêu cầu cho thư mục hoạt động.

Cảm ơn trước sự giúp đỡ của bạn!

windows-server-2008  domain-name-system  active-directory  opendns 
dingerkingh
nguồn
Đây có phải là một miền AD?
joeqwerty
Có - nhưng nó nằm trên sơ đồ địa chỉ IP công cộng nhưng nằm sau tường lửa. Tuy nhiên - đó không phải là NAT.
dingerkingh
2
OK, sau đó tất cả các máy khách miền của bạn chỉ nên sử dụng (các) máy chủ AD DNS của bạn cho DNS. Không định cấu hình bất kỳ máy chủ DNS thay thế nào trên bất kỳ máy khách miền nào, kể cả DC. Để các bộ chuyển tiếp OpenDNS trong cấu hình của máy chủ DNS và để nó ở đó. Việc định cấu hình bất kỳ máy khách miền nào để sử dụng các máy chủ DNS khác với (các) máy chủ AD DNS của bạn đi ngược lại thực tiễn tốt nhất và đang yêu cầu các vấn đề.
joeqwerty
Vâng - vấn đề tôi gặp phải là OpenDNS thấy tất cả lưu lượng truy cập đến từ máy chủ AD DNS. Vì vậy, nó đang áp dụng cùng một bộ lọc cho tất cả mọi người. Tôi cần OpenDNS để nhận ra rằng tất cả các máy đều nằm trên các địa chỉ IP riêng biệt nếu có thể theo một cách nào đó.
dingerkingh
Bạn không thể làm điều này. Ngoài ra, chuyển tiếp đến các máy chủ công cộng OpenDNS là một ý tưởng tồi, vì họ trả lại dữ liệu của riêng họ cho các tên miền không tồn tại theo mặc định. ('Chuyển hướng tên miền NX')
BlueCompute

Câu trả lời:

3

Thỉnh thoảng chúng tôi nhận được câu hỏi về cách người ta có thể tìm kiếm có chọn lọc các tên miền DNS ở cấp độ máy khách, nhưng đơn giản đó không phải là công việc của khách hàng để làm điều đó. Các thư viện của bộ giải quyết bị câm bởi thiết kế và hy vọng người truy cập ngược dòng sẽ thực hiện công việc nặng nhọc cho họ.

  • Cách duy nhất để giải quyết vấn đề này ở cấp máy khách là cho chính máy khách vận hành máy chủ DNS (không nhất thiết phải là máy chủ đầy đủ, dnsmasq và tương tự là các giải pháp phổ biến trong không gian Unix) và khách hàng sử dụng 127.0.0.1 cho máy khách DNS. Điều này hiếm khi được thực hiện trên các máy chủ Windows.
  • Con trỏ (Windows DNS) chịu trách nhiệm ngăn chặn rò rỉ cho bộ chuyển tiếp ngược dòng (OpenDNS). Nếu yêu cầu dành cho FQDN do AD quản lý, truy vấn đó sẽ không nhấn OpenDNS. Tên ngắn ( footrái ngược với foo.example.com) sẽ bị rò rỉ nếu bạn có hậu tố tìm kiếm được xác định trên máy khách không phải là miền mà cơ sở hạ tầng AD của bạn cho rằng chính nó có thẩm quyền.

Nếu câu trả lời này không làm bạn hài lòng, vui lòng cập nhật câu hỏi của bạn để bao gồm các miền tìm kiếm được sử dụng bởi khách hàng và một ví dụ về truy vấn bị rò rỉ sang OpenDNS.

Andrew B
nguồn
Bạn có biết có cách nào để AD DNS chuyển tiếp yêu cầu tới OpenDNS để OpenDNS có thể thấy yêu cầu đến từ thiết bị nào không?
dingerkingh
@dingerkingh OpenDNS sẽ thấy IP nguồn của máy chủ thực hiện đệ quy (hoặc nhiều khả năng là IP nguồn của địa chỉ NAT gửi đi của bạn), chứ không phải máy trạm. Nếu tôi không hiểu điều này một cách chính xác, tôi thực sự khuyên bạn nên cập nhật câu hỏi của bạn để bao gồm một ví dụ về hành vi được đề cập. Chúng tôi có thể không được sử dụng các điều khoản tương tự.
Andrew B
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.