目前,我们有以下设置。我们有两个域控制器,它们也充当 DNS 服务器,供本地客户端用作解析器。我们还有用于完全相同 DNS 区域的外部权威 DNS 服务器,仅用于为外部世界提供服务。这导致必须在两个服务器组上输入两次相同的记录。
一个明显的解决方案是只使用内部服务器并消除外部服务器组。我们使用 NAT,所有内部服务器都有来自私有范围的地址,例如 192.168.1.0 来自外部世界的请求被转发到任何需要的机器。
问题是,如果内部 DNS 服务器开始处理外部请求,如何避免泄露内部地址(将解析为 192.168...)?
答案1
我们有一个类似的设置,但出于安全原因,我故意将外部 DNS 与内部 DNS 放在不同的服务器上。一旦您将外部 DNS 移动到与内部(也是 Active Directory)相同的服务器,就必须在为内部 Active Directory 提供服务的同一台机器上为解析器打开一个漏洞。如果 DNS 服务中出现漏洞(就像过去一样),那么攻击者可能会破坏您的内部 Active Directory 计算机。通过将内部和外部 DNS 放在不同的机器上,您不必通过防火墙向内部 DNS/Active Directory 框打开任何东西,在我看来,这会使其更加安全。
答案2
拥有重复的内部网/互联网区域被称为“分裂脑”,您已经很好地概述了其优点/缺点。现在您必须选择优点和缺点。提示:对于必须在互联网上的少数记录,请忍受重复更新。
答案3
答案在一定程度上取决于您使用的防火墙,因为有些防火墙会为您处理 DNS 转换。您是否愿意如此依赖防火墙是一个大问题(至少在我看来)。我也不清楚是否所有/大多数防火墙都提供这种功能,这意味着一旦您删除了外部 DNS 服务器,您可能会发现自己只能使用现有的服务器,或者至少只能使用部分供应商的服务器。
回到您当前的设置(以及两次执行操作的麻烦),这听起来像是可以很容易地实现自动化的事情。
最后,如果取决于您想要消除额外服务器的原因,您可能需要考虑外包外部 DNS 服务。