Văn phòng nhỏ của chúng tôi có nên có máy chủ DNS nội bộ không?

9

Tôi quản lý một văn phòng nhỏ (<50 người). Chúng tôi luôn có máy chủ DNS nội bộ trong văn phòng. Các máy chủ DNS khá đơn giản, nhưng chúng tôi đã gặp rắc rối với chúng trong quá khứ. Chúng tôi có một số tài nguyên văn phòng chỉ có sẵn trong văn phòng hoặc bên ngoài qua VPN và chúng tôi cũng có một số tài nguyên văn phòng có địa chỉ và hồ sơ công khai. Những tài nguyên đó hiện có cùng tên DNS, mặc dù đó không nhất thiết là một yêu cầu và có rất ít trong số chúng so với trước đây.

Chúng tôi cũng đã sở hữu không gian tên văn phòng nội bộ, do đó, có thể hiểu rằng tôi có thể điền DNS công cộng của mình với tất cả các địa chỉ IP riêng của tài nguyên văn phòng nội bộ chúng tôi có và chỉ dừng hoàn toàn sử dụng DNS nội bộ.

Đây có phải là một ý tưởng tốt? Tôi chưa bao giờ làm việc ở một nơi không có DNS văn phòng nội bộ. Một số lý do tại sao chúng ta vẫn nên giữ nó? Điều đó đã từng rất quan trọng, bây giờ vẫn còn thuận tiện, nhưng những vấn đề chúng ta gặp phải không làm cho nó cảm thấy thuận tiện nữa.

Những lý do hiện tại để giữ:

  • Split DNS cho phép chúng tôi sử dụng cùng tên máy chủ cho những tài nguyên được lưu trữ bên trong nhưng cũng có sẵn bên ngoài
  • Chúng tôi có một vài miền thử nghiệm mà chúng tôi không cần mua nhưng sẽ cần nếu chúng tôi loại bỏ chúng
  • ??? nó quen thuộc và thoải mái?

Những lý do để thoát khỏi nó:

  • Hiện tại không có hỗ trợ IPv6
  • Đã có một số vấn đề với việc DNS bị phân tách, chủ yếu là với cấu hình VPN
  • Bảo trì trên một máy chủ có thể không cần thiết
internal-dns 
Aaron R.
nguồn
Tôi nghĩ rằng bạn cũng phải xem xét những thứ khác, như số lượng máy chủ bạn có và sự ổn định của kết nối internet. nếu bạn dựa vào máy chủ DNS bên ngoài, điều gì xảy ra nếu bạn mất kết nối internet trong một thời gian dài? (khi không còn thông tin nào được lưu trong bộ nhớ cache nữa), điều đó có nghĩa là không ai trong số các máy chủ của bạn cũng có thể liên lạc với nhau, và do đó tất cả các dịch vụ sẽ ngừng hoạt động. đó là một phần thưởng để có một máy chủ DNS cục bộ ít nhất là để lưu trữ và thực hiện các độ phân giải cục bộ.
olivierg
1
Lý do chính để có các máy chủ DNS nội bộ, ít nhất là trên mạng Windows, là để hỗ trợ Active Directory và miền Windows. Nếu bạn đang chạy một tên miền, bạn không thể thoát khỏi DNS tích hợp AD của mình. Hoặc, ít nhất, bạn không nên dù sao đi nữa.
Appleoddity
Chúng tôi có một máy chủ LDAP nội bộ, không phải AD. DNS không được tích hợp vào đó, mặc dù tôi tự hỏi liệu nó có phụ thuộc lẫn nhau không.
Aaron R.
cần có một số yêu cầu dns, nếu có nhiều máy chủ LDAP, AD sử dụng SRVcác bản ghi để khám phá dịch vụ, Dir389 cũng vậy.
Jacob Evans
Thú vị, tốt để biết. Mặc dù tôi không chắc nó sẽ cần phải được nội bộ trong mọi trường hợp; đối với tôi dường như chúng ta có thể sử dụng DNS công cộng cho điều đó.
Aaron R.

Câu trả lời:

5

Đọc từ bình luận của bạn ...

Tôi sẽ giữ 100% DNS. Tôi cũng sẽ mở rộng triển khai LDAP của bạn sang AD. 50 người chắc chắn là đủ lớn; Tôi sẽ triển khai DNS cho> 10 người dùng nếu họ hoàn toàn không có kỹ thuật và có nhiều tài nguyên nội bộ họ cần để truy cập.

Về nhược điểm:

  • Hiện tại không có hỗ trợ IPv6

Bạn sử dụng nền tảng nào? Có nhiều nền tảng hỗ trợ IPv6 - cụ thể là OpenDNS

  • Cấu hình VPN gây ra sự cố

Không có ý định xúc phạm, nhưng có lẽ bạn nên tìm ra lý do tại sao các cấu hình VPN đang phá vỡ DNS và giải quyết điều đó? Nó tốt hơn so với dải băng hoạt động của "Không, DNS nội bộ quá phức tạp để hoạt động với VPN!".

  • sự bảo trì

Tự động hóa, tự động hóa, tự động hóa - không quá khó miễn là bạn có một cách tiếp cận thông minh đối với các mục DNS và quản lý hệ thống nói chung. DNS không cần phải thay đổi hoàn toàn (ít nhất là không thường xuyên).

kilrainebc
nguồn
1
Chỉ khoảng một phần ba văn phòng sử dụng Windows, vì vậy tôi không thực sự quan tâm đến việc thêm nhiều cơ sở hạ tầng để triển khai bộ điều khiển miền. Tôi đang sử dụng Bind ngay bây giờ, chắc chắn hỗ trợ IPv6 nhưng nó chưa được kích hoạt và điều đó sẽ làm mất thời gian và công sức của tôi; đó là lực đẩy chính, thực sự; Tôi lao mình vào bất kỳ rủi ro loại bỏ khu vực này và chỉ sử dụng DNS công cộng, tôi thiết lập bản thân mình lên để làm việc nhiều hơn sau đó vì một số tính năng văn phòng trong tương lai mà không cần DNS, vv
Aaron R.
Xin lỗi - giả sử rằng mọi người đều sử dụng thiết bị Windows (Mặc dù AD hoạt động tốt với Linux và tôi tưởng tượng có một số tùy chọn hoàn thiện cho OS X). Đó là những quyết định thiết kế bạn phải xem xét và hành động. Nếu bạn nghĩ tăng trưởng và thông số kỹ thuật trong tương lai. có thể cần nhiều hơn một miền được kiểm soát với DNS nội bộ cho tài nguyên nội bộ - sau đó giữ nó xung quanh hoặc ở mức tối thiểu để nó sẵn sàng khởi động nếu bạn nghĩ rằng bạn có thể cần nó. Nếu không, bạn là thuyền trưởng của chính chiếc thuyền của bạn - bạn biết không? Loại điều này luôn luôn là một sự đánh đổi giữa nỗ lực so với phần thưởng dự đoán. Chúc may mắn! :)
kilrainebc
4

Giữ DNS nội bộ, nếu cần thiết làm cho nó dư thừa.

  • SplitBrain DNS là một mớ hỗn độn, nhưng thông thường bạn có (rất nhiều) hồ sơ nội bộ hơn bên ngoài. Ngoài ra, bạn có thể phân chia lưu lượng truy cập của mình: sử dụng nội bộ IP nội bộ, sử dụng bên ngoài IP bên ngoài.
  • AD dựa 100% vào DNS
  • Bạn không phụ thuộc vào DNS ISP của bạn, vì DNS của bạn sẽ có thể sử dụng đệ quy.
  • Bạn không muốn mọi người có thể tra cứu nguồn tài nguyên nội bộ của bạn
  • Bạn không muốn cung cấp cho bạn nguồn tài nguyên nội bộ cho ISP (DNS-) của bạn

Bạn không cần DNS của riêng mình, khi mọi người chỉ đang sử dụng internet và bạn không phải quản lý máy chủ của riêng mình. VPN nghe có vẻ như các dịch vụ nội bộ, jst kepp chúng nội bộ.

  • Hiện tại không có hỗ trợ IPv6

Vẫn còn máy chủ DNS không có v6? Hãy cập nhật ở đây.

  • Đã có một số vấn đề với việc DNS bị phân tách, chủ yếu là với cấu hình VPN

Vấn đề cấu hình sẽ không biến mất với một dịch vụ sẽ biến mất. Bạn vẫn sẽ phải thiết lập cho bạn vpn chính xác, bây giờ bao gồm các quy tắc đột phá cho lưu lượng DNS bên ngoài.

  • Bảo trì trên một máy chủ có thể không cần thiết

DNS thường nhỏ và không cần hộp riêng. Chỉ cần thiết lập một trên một trong các máy chủ đáng tin cậy của bạn (như tệp hoặc thư).

bjoster
nguồn
1
Bạn đưa ra một trong những câu hỏi thực sự tôi có, có lẽ là một câu hỏi sẽ tốt hơn như một câu hỏi mới, nhưng bạn có thể giải thích thêm ý của bạn khi bạn nói "Bạn không muốn mọi người có thể tra cứu tài nguyên nội bộ của bạn. " Thêm địa chỉ IP riêng trong DNS công cộng là không phổ biến, nhưng có điều gì đó thực sự sai với nó? Tại sao tôi quan tâm nếu tin tặc có thể tra cứu địa chỉ IP riêng của công ty tôi? Họ vẫn không thể định tuyến.
Aaron R.
3
Bạn không muốn cung cấp cho hacker bất kỳ manh mối nào về mạng nội bộ của bạn trong trường hợp bảo mật của bạn bị xâm phạm. Rò rỉ DNS nội bộ của bạn cung cấp manh mối về cấu trúc mạng bên trong, các mục tiêu ngon ngọt có thể có ("Aha!" HRserver ở 192.168.99.72! Cảm ơn! Tôi có thể đi thẳng vào đó "), v.v.
Brandon Xavier
1
Đó thực sự là một mối quan tâm? Tôi biết có một tình cảm chung trong cộng đồng chuyên nghiệp rằng tốt hơn hết là bảo vệ mọi thông tin có thể có, nhưng tôi không chắc nó quan trọng đến mức nào. Tất cả DNS không công khai của chúng tôi có thể được truy vấn và họ sẽ nhận được dữ liệu đó sau 10 phút. Vì vậy, có lẽ chúng ta đang tiết kiệm thời gian hack 10 phút? Điều đó dường như không có giá trị đối với tôi.
Aaron R.
DNS không công khai của bạn không được mở cho các truy vấn .... Do đó "không công khai" ...
kilrainebc
2
Về mặt kỹ thuật, bạn có thể đặt tư nhân của mình ở nơi công cộng, nhưng về mặt kỹ thuật bạn cũng không thể mặc quần ở nơi công cộng (hoặc chỉ tại nơi làm việc này). Do đó , có thể , không ai muốn bạn làm điều đó và vì vậy không có anh chàng IT chuyên nghiệp nào làm được.
bjoster
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.