Il nostro piccolo ufficio dovrebbe avere server DNS interni?


9

Gestisco un piccolo ufficio (<50 persone). Abbiamo sempre avuto server DNS interni in ufficio. I server DNS sono piuttosto semplici, ma in passato abbiamo riscontrato problemi con loro. Abbiamo alcune risorse dell'ufficio che sono disponibili solo in ufficio o esternamente tramite VPN e abbiamo anche alcune risorse dell'ufficio con un indirizzo e un registro pubblici. Tali risorse attualmente hanno lo stesso nome DNS, anche se non è necessariamente un requisito, e ce ne sono molte meno di quelle che esistevano.

Possediamo già già lo spazio dei nomi dell'ufficio interno, quindi è possibile che io possa popolare il mio DNS pubblico con tutti gli indirizzi IP privati ​​delle risorse interne dell'ufficio che abbiamo e smettere di usare del tutto il DNS interno.

E 'questa una buona idea? Non ho mai lavorato in un posto che non ha DNS interno dell'ufficio. Quali sono alcuni dei motivi per cui dovremmo ancora tenerlo? Una volta era fondamentale, ora è ancora conveniente, ma i problemi che abbiamo incontrato non lo fanno più sentire comodo.

Motivi attuali da mantenere:

  • Il DNS diviso ci consente di utilizzare lo stesso nome host per quelle risorse ospitate internamente ma disponibili anche esternamente
  • Abbiamo alcuni domini di test che non abbiamo avuto bisogno di acquistare ma che avremmo dovuto eliminare se li eliminassimo
  • ??? è familiare e confortante?

Ragioni per sbarazzarsene:

  • Nessun supporto IPv6 al momento
  • Hanno avuto diversi problemi con la divisione del DNS, principalmente con la configurazione VPN
  • Manutenzione su un server che potrebbe non essere necessaria

penso che devi prendere in considerazione anche altre cose, come il numero di server che hai e la stabilità della connessione Internet. se si fa affidamento su un server DNS esterno, cosa succede se si perde la connettività Internet per molto tempo? (quando nessuna informazione viene più memorizzata nella cache) significa che nessuno dei tuoi server sarà in grado di comunicare insieme, e quindi tutti i servizi saranno inattivi. è un vantaggio avere un server DNS locale almeno per la memorizzazione nella cache ed eseguire risoluzioni locali.
olivierg,

1
Il motivo principale per avere server DNS interni, almeno su una rete Windows, è per supportare Active Directory e un dominio Windows. Se stai gestendo un dominio non puoi sbarazzarti del tuo DNS integrato AD. O almeno non dovresti comunque.
Appleoddity,

Abbiamo un server LDAP interno, non AD. Il DNS non è integrato in questo, anche se mi chiedo se abbia qualche interdipendenza.
Aaron R.,

dovrebbe avere alcuni requisiti DNS, se ci sono più server LDAP, AD utilizza i SRVrecord per l'individuazione del servizio, così come Dir389.
Jacob Evans,

Interessante, buono a sapersi. Anche se non sono sicuro che dovrebbe essere interno in ogni caso; mi sembra che potremmo usare DNS pubblico per quello.
Aaron R.,

Risposte:


5

Leggendo dai tuoi commenti ...

Vorrei mantenere il DNS al 100%. Estenderei anche l'implementazione LDAP ad AD. 50 persone sono decisamente abbastanza grandi; Implementerei DNS per> 10 utenti se non sono affatto tecnici e disponevano di più risorse interne di cui avevano bisogno per accedere.

Per quanto riguarda i contro:

  • Nessun supporto IPv6 al momento

Quale piattaforma usi? Esistono più piattaforme con supporto IPv6, vale a dire OpenDNS

  • Configurazione VPN che causa problemi

Nessuna offesa, ma forse dovresti capire perché le configurazioni VPN stanno rompendo il DNS e risolverlo? È meglio della banda alternativa "No, DNS interno è troppo complicato per funzionare con la VPN!".

  • la manutenzione

Automatizza, automatizza, automatizza: non dovrebbe essere troppo difficile finché si adotta un approccio intelligente alle voci DNS e alla gestione del sistema nel suo complesso. Il DNS non dovrebbe essere radicalmente modificato (almeno non spesso).


1
Solo circa un terzo dell'ufficio utilizza Windows, quindi non sono davvero interessato ad aggiungere più infrastruttura per implementare un controller di dominio. Sto usando Bind in questo momento, che sicuramente supporta IPv6 ma non è stato abilitato e ciò richiederebbe tempo e sforzi da parte mia; questa è la spinta principale, davvero; Mi sto esponendo al rischio di rimuovere questa risorsa e di utilizzare solo DNS pubblico, mi sto preparando per ulteriori lavori in seguito a causa di alcune funzionalità future dell'ufficio che hanno bisogno di DNS, ecc.
Aaron R.

Scusate, supponevo che tutti fossero su un dispositivo Windows (anche se AD funziona bene con Linux e immagino ci siano alcune opzioni mature anche per OS X). Queste sono le decisioni di progettazione che devi considerare e attuare. Se pensi alla crescita e alle specifiche future. potrebbe essere necessario più di un dominio controllato con DNS interno per le risorse interne - poi tenerlo in giro, o almeno molto averlo pronto per l'avvio, se si pensa che si potrebbe averne bisogno. Altrimenti, sei il capitano della tua barca - lo sai? Questo genere di cose è sempre un compromesso tra sforzo e ricompensa anticipata. In bocca al lupo! :)
kilrainebc,

4

Conservare il DNS interno, se necessario, renderlo ridondante.

  • SplitBrain DNS è un casino, ma di solito hai (molti) più record interni che esterni. Inoltre puoi dividere il tuo traffico: interno utilizza IP interni, esterno utilizza quelli esterni.
  • AD si basa al 100% su DNS
  • Non dipende dal DNS del proprio ISP, poiché il DNS sarebbe in grado di utilizzare la ricorsione.
  • Non vuoi che tutti siano in grado di cercare la tua risorsa interna
  • Non si desidera fornire risorse interne al proprio ISP (DNS-)

Non hai bisogno del tuo DNS, quando tutti usano Internet e non devi gestire i tuoi server. La VPN mi suona come servizi interni, jst kepp li interni.

  • Nessun supporto IPv6 al momento

Ci sono ancora server DNS senza v6 là fuori? Tieniti aggiornato qui.

  • Hanno avuto diversi problemi con la divisione del DNS, principalmente con la configurazione VPN

I problemi di configurazione non andranno via con un servizio che va via. Dovrai comunque configurare correttamente il tuo VPN, ora includendo le regole di breakout per il traffico DNS esterno.

  • Manutenzione su un server che potrebbe non essere necessaria

Il DNS è generalmente piccolo e non ha bisogno di una propria scatola. Basta installarne uno su uno dei server affidabili (come file o posta).


1
Fai emergere una delle vere domande che ho avuto, forse una che sarebbe meglio come una nuova domanda, ma potresti spiegare di più cosa intendi quando dici "Non vuoi che tutti siano in grado di cercare le tue risorse interne. " L'aggiunta di indirizzi IP privati ​​nel DNS pubblico non è comune, ma c'è qualcosa di veramente sbagliato? Perché dovrei preoccuparmi se gli hacker possono cercare gli indirizzi IP privati ​​della mia azienda? Non sono ancora instradabili.
Aaron R.,

3
Non vuoi dare a un hacker alcun indizio sulla tua rete interna in caso di violazione della tua sicurezza. Perdere il tuo DNS interno fornisce indizi sulla struttura della rete interna, possibili obiettivi succosi ("Aha!" HRserver è a 192.168.99.72! Grazie! Posso andare dritto per quello "), ecc.
Brandon Xavier il

1
Ma è davvero una preoccupazione? So che esiste un sentimento generale nella comunità professionale secondo cui è meglio proteggere ogni possibile brandello di informazioni, ma non sono sicuro di quanto sia critico. Tutti i nostri DNS non pubblici potrebbero essere interrogati e otterrebbero quei dati in 10 minuti. Quindi forse stiamo risparmiando tempo di hacking per 10 minuti? Non mi sembra molto prezioso.
Aaron R.,

Il tuo DNS non pubblico non dovrebbe essere aperto alle query .... Quindi "non pubblico" ...
kilrainebc

2
Tecnicamente puoi mettere i tuoi privati ​​in pubblico, ma tecnicamente non puoi anche indossare pantaloni in pubblico (o semplicemente in questo posto di lavoro). Quindi è possibile , nessuno vuole che tu lo faccia mai e quindi nessun professionista IT lo farebbe.
Bjoster,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.