Чи повинен наш невеликий офіс мати внутрішні сервери DNS?


9

Я адмініструю невеликий кабінет (<50 осіб). У нас в офісі завжди були внутрішні сервери DNS. DNS-сервери досить прості, але ми з ними стикалися раніше. У нас є деякі офісні ресурси, які доступні лише в офісі або зовнішньо через VPN, а також у нас є деякі офісні ресурси з публічною адресою та записами. Наразі ці ресурси мають те саме ім'я DNS, хоча це не обов'язково, і їх набагато менше, ніж раніше.

Ми також вже маємо внутрішній простір імен офісу, тому можливо, що я міг би заповнити свій загальнодоступний DNS усіма приватними IP-адресами внутрішніх ресурсів офісу, які ми маємо, і взагалі перестати використовувати внутрішній DNS.

Це гарна ідея? Я ніколи не працював у місці, де немає внутрішнього офісу DNS. Які причини, чому ми все-таки повинні зберігати це? Колись це було важливо, зараз це все ще зручно, але проблеми, з якими ми стикалися, вже не відчувають себе зручно.

Поточні причини збереження:

  • Спліт DNS дозволяє нам використовувати те саме ім’я хоста для тих ресурсів, які розміщуються внутрішньо, але також доступні зовні
  • У нас є кілька тестових доменів, які нам не потрібно було купувати, але знадобиться, якби ми їх позбулися
  • ??? це знайоме і втішне?

Причини позбутися від нього:

  • Наразі немає підтримки IPv6
  • У вас виникло кілька проблем з розділенням DNS, в основному з конфігурацією VPN
  • Технічне обслуговування на сервері, яке може бути непотрібним

Я думаю, ви повинні взяти до уваги і інші речі, наприклад кількість серверів у вас і стабільність інтернет-зв’язку. якщо ви покладаєтесь на зовнішній сервер DNS, що станеться, якщо ви довго втратили зв’язок з Інтернетом? (коли інформація більше не кешується), це означає, що ніхто з ваших серверів також не зможе спілкуватися разом, і тому всі сервіси будуть відключені. бонус мати локальний DNS-сервер принаймні для кешування та виконання локальних дозволів.
олів’єр

1
Основна причина наявності внутрішніх серверів DNS, принаймні в мережі Windows, полягає в підтримці Active Directory та домену Windows. Якщо ви користуєтесь доменом, ви не можете позбутися вашої інтегрованої DNS-адреси AD. Або, принаймні, ні в якому разі не слід.
Appleoddity

У нас є внутрішній сервер LDAP, а не AD. DNS не інтегрований у це, хоча мені цікаво, чи є у нього взаємозалежність.
Аарон Р.

він повинен мати деякі вимоги dns, якщо є кілька серверів LDAP, AD використовує SRVзаписи для виявлення сервісу, як і Dir389.
Якоб Еванс

Цікаво, добре знати. Хоча я не впевнений, що в будь-якому випадку він повинен бути внутрішнім; мені здається, ми могли б використовувати для цього публічний DNS.
Аарон Р.

Відповіді:


5

Читання з ваших коментарів ...

Я б на 100% зберігав DNS. Я також розширюю вашу реалізацію LDAP до AD. 50 людей, безумовно, досить великі; Я б застосував DNS для> 10 користувачів, якщо вони взагалі нетехнічні та мали б декілька внутрішніх ресурсів, необхідних для доступу.

Щодо мінусів:

  • Наразі немає підтримки IPv6

Яку платформу ви використовуєте? Існує кілька платформ з підтримкою IPv6 - а саме OpenDNS

  • Конфігурація VPN, що викликає проблеми

Жодного правопорушення не передбачалося, але, можливо, вам слід розібратися, чому конфігурації VPN ламають DNS і вирішують це? Це краще, ніж обв'язка "Ні, внутрішній DNS занадто складний для роботи з VPN!".

  • обслуговування

Автоматизувати, автоматизувати, автоматизувати - це не повинно бути занадто складно, якщо ви спритно підходите до записів DNS та управління системою в цілому. DNS не слід кардинально змінювати (принаймні, не часто).


1
Лише третина офісу використовує Windows, тому мені не дуже цікаво додавати більше інфраструктури для впровадження контролера домену. Зараз я використовую Bind, який, безумовно, підтримує IPv6, але він не ввімкнено, і це потребує часу і сил з мого боку; це справді головна тяга; Чи я ризикую видалити цей ресурс і використовую лише загальнодоступний DNS, чи налаштовуюся я на подальшу роботу пізніше через деяку функцію майбутнього офісу, яка потребує DNS тощо.
Аарон Р.

Вибачте - припустив, що всі були на пристрої Windows (хоча AD працює добре з Linux, і я думаю, що є деякі зрілі варіанти для OS X). Це дизайнерські рішення, які ви повинні враховувати та діяти. Якщо ви думаєте, зростання та майбутні характеристики. може знадобитися більше контрольованого домену з внутрішнім DNS для внутрішніх ресурсів - тоді тримайте його навколо або, як мінімум, готові до завантаження, якщо ви думаєте, що він вам може знадобитися. Інакше ти капітан власного човна - знаєш? Така річ завжди є компромісом між зусиллями та передбачуваною винагородою. Удачі! :)
kilrainebc

4

Зберігайте внутрішній DNS, при необхідності зробіть його зайвим.

  • SplitBrain DNS - це безлад, але зазвичай у вас (набагато) більше внутрішніх записів, ніж зовнішніх. Крім того, ви можете розділити свій трафік: внутрішні використовують внутрішні IP-адреси, зовнішні - зовнішні.
  • AD покладається на 100% на DNS
  • Ви не залежні від DNS своїх провайдерів, оскільки ваш DNS зможе використовувати рекурсію.
  • Ви не хочете, щоб усі могли шукати ваш внутрішній ресурс
  • Ви не хочете надавати внутрішні ресурси для свого провайдера (DNS-)

Вам не потрібен власний DNS, коли всі просто користуються Інтернетом і вам не потрібно керувати власними серверами. VPN звучить для мене як внутрішні сервіси, jst kepp їх внутрішні.

  • Наразі немає підтримки IPv6

Є ще DNS-сервери без v6? Будьте в курсі тут.

  • У вас виникло кілька проблем з розділенням DNS, в основному з конфігурацією VPN

Проблеми з налаштуванням не зникнуть із відключенням послуги. Вам все одно доведеться правильно встановити vpn, тепер включаючи правила прориву для зовнішнього трафіку DNS.

  • Технічне обслуговування на сервері, яке може бути непотрібним

DNS зазвичай невеликий і не потребує власної коробки. Просто встановіть його на одному з ваших надійних серверів (наприклад, файл чи пошта).


1
Ви виводите одне з справжніх питань, яке у мене було, можливо, таке, яке було б краще, як нове запитання, але ви могли б пояснити більше, що ви маєте на увазі, коли ви говорите: «Ви не хочете, щоб усі могли шукати ваші внутрішні ресурси. " Додавання приватних IP-адрес у загальнодоступний DNS є рідкістю, але чи щось насправді не так? Навіщо мені байдуже, якщо хакери можуть шукати приватні IP-адреси моєї компанії? Вони все ще не маршрутизовані.
Аарон Р.

3
Ви не хочете давати хакеру жодних підказок про вашу внутрішню мережу у випадку порушення вашої безпеки. Витік внутрішнього DNS дає підказки про структуру внутрішньої мережі, можливі соковиті цілі ("Ага!" HRserver на рівні 192.168.99.72! Дякую! Я можу піти прямо за це ") тощо"
Брендон Ксав'є

1
Це справді турбота? Я знаю, що в професійному співтоваристві загальні настрої, що краще захищати всі можливі фрагменти інформації, але я не впевнений, наскільки це критично. Усі наші непублічні DNS можуть бути запитані, і вони отримають ці дані за 10 хвилин. Тож, можливо, ми економимо 10 хвилин на злому часу? Це не здається мені дуже цінним.
Аарон Р.

Ваш непублічний DNS не повинен бути відкритим для запитів .... Звідси "непублічні" ...
kilrainebc

2
Технічно ви можете розмістити своїх приватних осіб на публіці, але технічно ви також не можете носити штани на публіці (або просто на цьому робочому місці). Отже , можливо , ніхто не хоче, щоб ви це робили, і тому жоден професійний ІТ-хлопець не хотів би.
bjoster
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.