我对使用 pfSense 设置 Active Domain 有一些疑问。我对此还很陌生,而且我还没有找到任何专门处理这些问题的帖子,我已经搜索了几个小时。
这是我的设置的简单图表:
客户端机器 <--> 用于内部 DNS 的 ADDC/DNS/DHCP 服务器 <--> 转发到 pfSense 用于外部 DNS(解析器)并根据内部网络 IP 将流量拆分到 VPN/非 VPN <--> 互联网
Windows Server 2016 核心是一个 Active Directory 域控制器,是本地网络的 DNS 服务器,并发布 DHCP 租约。
我已将 Windows 的 DNS 设置为如果无法解析名称(例如外部 DNS)则将 DNS 请求转发到我的 pfSense 防火墙(其中运行有 DNS 解析器服务)。
在我设置 ADDC/DNS/DHCP 盒之前,pfSense 已经设置为将来自某些 IP 的流量引导到互联网(无论是否使用 VPN)。VPN 使用 OpenVPN 通过 pfSense 连接,每个都有不同的外部递归 DNS 服务器(我分别使用 PIA 和 Google DNS)。
设置 Windows ADDC/DNS/DHCP 服务器后,我在 pfSense 中唯一改变的就是关闭 DHCP 服务器。
到目前为止,一切似乎都运行良好,但由于我是使用 Windows Server 进行网络连接的新手,我希望有人能帮助我分析此设置。以下是我具体的问题:
1) 我应该这样设置这些东西吗?这样做有什么问题吗?或者有没有更好的整体方法?
2) ADDC/内部 DNS 仅将 DNS 条目指向自身(例如 127.0.0.1)。这正确吗?
我在 Technet 上看到一些文章说最好有另一个 DNS 指向 - 我的网络上没有其他 DNS(除非算上 pfSense 解析器)。我有点认为这是对故障转移或共享工作负载(例如 80/20 规则)的某种引用,但我真的不确定。
3) 内部网络已从 pfSense 中移除 - pfSense 基本上只处理外部事务,不处理其他事务。但它仍然扮演着相当多的角色。这是设置事物的好方法吗?还是使用 Windows 指向外部 DNS 也有好处?
使用 Bind 或 Windows 设置 DNS 缓存并仅使用 pfSense 作为防火墙是否有益?
答案1
如果您只有一个 DC,那么,是的,让它指向自己作为主 DNS - 这是 Microsoft 推荐的做法。
不过,理想情况下,对于“外部 DNS”,您应该按照 ServerFault.com 问题中提到的方式配置转发器(与您的问题非常相似):https://serverfault.com/questions/601003/how-to-have-your-dns-servers-forward-queries-for-internet-names
编辑 DNS 服务器的属性 > 转发器选项卡 > 输入 ISP/外部 DNS 服务器的 IP 地址。如果愿意,或者转发器不可用,您可以使用根提示。您还应确认未选中高级选项卡 > 禁用递归框。
如果您想使用根提示:
如果“DNS 服务器根提示”选项卡未填充,您可以从以下文件重新输入:%systemroot%\system32\dns\cache.dns。要让您的 DNS 服务器递归解析查询,您的 DNS 服务器不能托管根 (. 点) 区域。