สำนักงานขนาดเล็กของเราควรมีเซิร์ฟเวอร์ DNS ภายในหรือไม่


9

ฉันบริหารสำนักงานขนาดเล็ก (<50 คน) เรามีเซิร์ฟเวอร์ DNS ภายในอยู่เสมอในสำนักงาน เซิร์ฟเวอร์ DNS นั้นค่อนข้างตรงไปตรงมา แต่เราประสบปัญหากับพวกเขาในอดีต เรามีทรัพยากรสำนักงานบางอย่างที่มีให้เฉพาะในสำนักงานหรือภายนอกผ่าน VPN และเรายังมีทรัพยากรสำนักงานบางอย่างที่มีที่อยู่และบันทึกสาธารณะ ขณะนี้ทรัพยากรเหล่านั้นมีชื่อ DNS เหมือนกัน แต่นั่นไม่จำเป็นต้องมีข้อกำหนดและมีจำนวนน้อยกว่าที่เคยเป็นมา

เรายังเป็นเจ้าของ namespace office ภายในอยู่แล้วดังนั้นจึงเป็นไปได้ว่าฉันสามารถเติม DNS สาธารณะของฉันด้วยที่อยู่ IP ส่วนตัวทั้งหมดของทรัพยากรสำนักงานภายในที่เรามีและเพิ่งหยุดใช้ DNS ภายในทั้งหมด

นี่เป็นความคิดที่ดีหรือไม่? ฉันไม่เคยทำงานในสถานที่ที่ไม่มี DNS ภายในสำนักงาน มีเหตุผลอะไรบ้างที่เราควรเก็บไว้ ครั้งหนึ่งเคยเป็นเรื่องสำคัญตอนนี้ยังคงสะดวก แต่ปัญหาที่เราพบไม่ทำให้รู้สึกสะดวกสบายอีกต่อไป

เหตุผลในการเก็บปัจจุบัน:

  • Split DNS ช่วยให้เราสามารถใช้ชื่อโฮสต์เดียวกันสำหรับทรัพยากรเหล่านั้นที่โฮสต์ภายใน แต่ยังสามารถใช้ได้จากภายนอก
  • เรามีโดเมนทดสอบไม่กี่แห่งที่เราไม่จำเป็นต้องซื้อ แต่จะต้องทำถ้าเรากำจัดมันออกไป
  • ??? คุ้นเคยและปลอบโยนไหม?

เหตุผลในการกำจัดมัน:

  • ไม่มีการสนับสนุน IPv6 ในขณะนี้
  • มีปัญหาหลายอย่างกับ DNS ที่ถูกแบ่งส่วนใหญ่มีการกำหนดค่า VPN
  • การบำรุงรักษาบนเซิร์ฟเวอร์ที่อาจไม่จำเป็น

ฉันคิดว่าคุณต้องคำนึงถึงสิ่งอื่นด้วยเช่นจำนวนเซิร์ฟเวอร์ที่คุณมีและความเสถียรของการเชื่อมต่ออินเทอร์เน็ต หากคุณใช้เซิร์ฟเวอร์ DNS ภายนอกจะเกิดอะไรขึ้นหากคุณขาดการเชื่อมต่ออินเทอร์เน็ตเป็นเวลานาน (เมื่อไม่มีการแคชข้อมูลอีกต่อไป) หมายความว่าไม่มีใครในเซิร์ฟเวอร์ของคุณจะสามารถสื่อสารกันได้เช่นกันดังนั้นบริการทั้งหมดจะหยุดทำงาน มันเป็นโบนัสที่จะมีเซิร์ฟเวอร์ DNS ภายในอย่างน้อยสำหรับแคชและดำเนินการแก้ปัญหาในท้องถิ่น
olivierg

1
สาเหตุหลักของการมีเซิร์ฟเวอร์ DNS ภายในอย่างน้อยในเครือข่าย Windows คือเพื่อรองรับ Active Directory และโดเมน Windows หากคุณใช้โดเมนคุณจะไม่สามารถกำจัด DNS รวมของ AD หรืออย่างน้อยคุณไม่ควรทำอะไรเลย
Appleoddity

เรามีเซิร์ฟเวอร์ LDAP ภายในไม่ใช่ AD DNS ไม่ได้รวมอยู่ในนั้นแม้ว่าฉันจะสงสัยว่ามันมีการพึ่งพาซึ่งกันและกัน
แอรอนอาร์

มันควรมีข้อกำหนดบางอย่างของ dns หากมีเซิร์ฟเวอร์ LDAP หลายตัวโฆษณาจะใช้SRVระเบียนสำหรับการค้นหาบริการเช่นนั้น Dir389
Jacob Evans

น่าสนใจรู้ดี แม้ว่าฉันไม่แน่ใจว่ามันจะต้องเป็นภายในในกรณีใด ๆ ดูเหมือนว่าฉันจะใช้ DNS สาธารณะสำหรับสิ่งนั้นได้
แอรอนอาร์

คำตอบ:


5

อ่านจากความคิดเห็นของคุณ ...

ฉันจะเก็บ DNS ไว้ 100% ฉันจะขยายการใช้งาน LDAP ของคุณไปยังโฆษณาด้วย 50 คนมีขนาดใหญ่พอ ฉันจะใช้ DNS สำหรับผู้ใช้มากกว่า 10 คนหากพวกเขาไม่ใช่ผู้ใช้ด้านเทคนิคและมีทรัพยากรภายในหลายอย่างที่พวกเขาต้องการในการเข้าถึง

เกี่ยวกับข้อเสีย:

  • ไม่มีการสนับสนุน IPv6 ในขณะนี้

คุณใช้แพลตฟอร์มใด มีหลายแพลตฟอร์มที่รองรับ IPv6 - คือ OpenDNS

  • การกำหนดค่า VPN ทำให้เกิดปัญหา

ไม่มีความผิดที่ตั้งใจ แต่บางทีคุณควรหาสาเหตุว่าทำไมการกำหนดค่า VPN ถึงแตก DNS และแก้ปัญหานั้น มันดีกว่า bandaid รอบ ๆ "Nope DNS ภายในนั้นซับซ้อนเกินกว่าที่จะทำงานกับ VPN!"

  • การบำรุงรักษา

อัตโนมัติเป็นไปโดยอัตโนมัติโดยอัตโนมัติ - ไม่ควรยากเกินไปตราบใดที่คุณใช้วิธีการที่ชาญฉลาดในการป้อน DNS และการจัดการระบบโดยรวม ไม่ควรเปลี่ยน DNS อย่างรุนแรง (อย่างน้อยก็ไม่บ่อย)


1
ประมาณหนึ่งในสามของสำนักงานใช้ Windows ดังนั้นฉันไม่สนใจที่จะเพิ่มโครงสร้างพื้นฐานเพิ่มเติมเพื่อใช้ตัวควบคุมโดเมน ตอนนี้ฉันกำลังใช้ Bind ซึ่งรองรับ IPv6 อย่างแน่นอน แต่ยังไม่ได้เปิดใช้งานและต้องใช้เวลาและความพยายามในส่วนของฉัน นั่นคือแรงผลักดันหลักจริงๆ ฉันมีความเสี่ยงที่จะลบทรัพยากรนี้และใช้ DNS สาธารณะเท่านั้นฉันกำลังตั้งค่าตัวเองสำหรับการทำงานมากขึ้นในภายหลังเนื่องจากมีคุณสมบัติสำนักงานในอนาคตที่ต้องใช้ DNS และอื่น ๆ
Aaron R.

ขออภัย - สันนิษฐานว่าทุกคนอยู่บนอุปกรณ์ windows (แม้ว่า AD จะทำงานได้ดีกับ Linux และฉันคิดว่ามีตัวเลือกสำหรับ OS X ด้วยเช่นกัน) สิ่งเหล่านี้คือการตัดสินใจออกแบบที่คุณต้องพิจารณาและดำเนินการ หากคุณคิดว่าการเติบโตและรายละเอียดในอนาคต อาจต้องการโดเมนที่ควบคุมด้วย DNS ภายในมากขึ้นสำหรับทรัพยากรภายใน - จากนั้นเก็บไว้หรืออย่างน้อยก็พร้อมที่จะบูตหากคุณคิดว่าคุณอาจต้องการมัน มิฉะนั้นคุณจะเป็นกัปตันของเรือของคุณเอง - คุณรู้หรือไม่? สิ่งนี้เป็นการแลกเปลี่ยนระหว่างความพยายามกับรางวัลที่คาดหวังเสมอ โชคดี! :)
kilrainebc

4

เก็บ DNS ภายในไว้ถ้าจำเป็นให้ทำซ้ำซ้อน

  • SplitBrain DNS เป็นระเบียบ แต่โดยปกติแล้วคุณจะมีระเบียนภายในจำนวนมากมากกว่าภายนอก ยิ่งไปกว่านั้นคุณสามารถแบ่งทราฟฟิกของคุณ: ใช้ IP ภายใน, ใช้ภายนอกจากภายนอก
  • โฆษณาพึ่งพา DNS 100%
  • คุณไม่ได้ขึ้นอยู่กับ DNS ของ ISP เพราะ DNS ของคุณจะสามารถใช้การสอบถามซ้ำได้
  • คุณไม่ต้องการให้ทุกคนสามารถค้นหาแหล่งข้อมูลภายในของคุณได้
  • คุณไม่ต้องการให้ ressources ภายในแก่คุณ (DNS-) ISP

คุณไม่ต้องการให้คุณเป็นเจ้าของ DNS เมื่อทุกคนใช้อินเทอร์เน็ตและคุณไม่ต้องจัดการเซิร์ฟเวอร์ของคุณเอง VPN ส่งเสียงเหมือนฉันกับบริการภายใน jst kepp ภายใน

  • ไม่มีการสนับสนุน IPv6 ในขณะนี้

ยังมีเซิร์ฟเวอร์ DNS ที่ไม่มี v6 อยู่หรือ รับข้อมูลล่าสุดได้ที่นี่

  • มีปัญหาหลายอย่างกับ DNS ที่ถูกแบ่งส่วนใหญ่มีการกำหนดค่า VPN

ปัญหาการกำหนดค่าจะไม่หายไปเมื่อบริการกำลังจะหมดไป คุณจะต้องตั้งค่า vpn อย่างถูกต้องตอนนี้รวมถึงกฎการฝ่าวงล้อมสำหรับทราฟฟิก DNS ภายนอก

  • การบำรุงรักษาบนเซิร์ฟเวอร์ที่อาจไม่จำเป็น

DNS มักจะมีขนาดเล็กและไม่ต้องการกล่องของตัวเอง เพียงตั้งค่าหนึ่งในเซิร์ฟเวอร์ที่เชื่อถือได้ของคุณ(เช่นไฟล์หรืออีเมล)


1
คุณนำคำถามจริงข้อหนึ่งที่ฉันมีบางทีคำถามที่ดีกว่ามาเป็นคำถามใหม่ แต่คุณสามารถอธิบายเพิ่มเติมว่าคุณหมายถึงอะไรเมื่อคุณพูดว่า "คุณไม่ต้องการให้ทุกคนสามารถค้นหาทรัพยากรภายในของคุณได้ " การเพิ่มที่อยู่ IP ส่วนตัวใน DNS สาธารณะเป็นเรื่องแปลก แต่มีบางอย่างผิดปกติหรือไม่ ทำไมฉันถึงสนใจว่าแฮ็กเกอร์สามารถค้นหาที่อยู่ IP ส่วนตัวของ บริษัท ได้หรือไม่ พวกเขายังไม่สามารถกำหนดเส้นทางได้
แอรอนอาร์

3
คุณไม่ต้องการให้แฮกเกอร์รู้เบาะแสใด ๆ เกี่ยวกับเครือข่ายภายในของคุณในกรณีที่การรักษาความปลอดภัยของคุณถูกละเมิด การปล่อย DNS ภายในของคุณให้เบาะแสเกี่ยวกับโครงสร้างเครือข่ายภายในเป้าหมายที่เป็นไปได้ที่ฉ่ำ ("Aha!" HRserver อยู่ที่ 192.168.99.72! ขอบคุณ! ฉันสามารถไปตรงนั้น ") ฯลฯ
Brandon Xavier

1
นั่นเป็นเรื่องที่น่ากังวลจริง ๆ ไหม? ฉันรู้ว่ามีความเชื่อมั่นทั่วไปในชุมชนมืออาชีพที่ดีกว่าในการปกป้องข้อมูลทุกชิ้นที่เป็นไปได้ แต่ฉันไม่แน่ใจว่าสำคัญแค่ไหน DNS ที่ไม่ใช่แบบสาธารณะทั้งหมดของเราสามารถสอบถามได้และพวกเขาจะได้รับข้อมูลนั้นภายใน 10 นาที ดังนั้นเราอาจประหยัดเวลาการแฮ็ค 10 นาที นั่นไม่ได้มีค่าสำหรับฉันมากนัก
แอรอนอาร์

DNS ที่ไม่ใช่แบบสาธารณะของคุณไม่ควรเปิดให้มีการสอบถาม .... ดังนั้น "ไม่ใช่แบบสาธารณะ" ...
kilrainebc

2
ในทางเทคนิคคุณสามารถทำให้เอกชนของคุณเป็นที่สาธารณะได้ แต่โดยทางเทคนิคแล้วคุณไม่สามารถใส่กางเกงในที่สาธารณะ (หรือที่ทำงานนี้) ดังนั้นจึงเป็นไปได้ไม่มีใครต้องการให้คุณทำอย่างนั้นและไม่มีผู้ชายไอทีมืออาชีพจะ
bjoster
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.