用于解析内部和外部地址的推荐客户端 DNS 配置是什么?

用于解析内部和外部地址的推荐客户端 DNS 配置是什么?

通常情况下,如果我有一个使用 SBS 的客户,我会使用它的 DNS 来解析内部名称,然后如果内部 DNS 无法解析地址,则转发到外部 DNS。

最近,母公司在客户站点安装了新的 Cisco PIX 路由器并接管了 DHCP 功能。他们已将客户端上的配置更改为使用主 DNS 解析内部名称,使用辅助 DNS 解析外部名称。

我不认为这是主 DNS 和辅助 DNS 条目的目的,但我不是该主题的专家。

当存在内部 DNS 时,首选的客户端设置是什么?

答案1

如果您希望事情轻松无痛地进行,请执行以下操作:

  • 仅在 Active Directory 域控制器计算机上运行 Windows DNS 服务器。(这确保它们拥有 Active Directory 集成 DNS 区域的副本)。

  • 确保您的 Windows DNS 服务器已指定“根提示”(默认情况下如此)或已指定指向您 IPS 上的 DNS 服务器的“转发器”。

  • 验证所有 Windows 计算机(服务器和客户端)是否仅将 Windows DNS 服务器指定为其 DNS 服务器。(任何服务器、客户端或 DHCP 配置中都不应指定非 Windows DC 的 DNS 服务器。)

  • 验证您的防火墙规则是否允许 Windows DNS 服务器通过 UDP 端口 53 出站到 Internet(如果您使用“根提示”,则为整个网络;如果您使用“转发器”,则为 ISP DNS 服务器)。

这是 Microsoft 推荐的配置,它将导致 Internet 和内部名称解析,而不会将动态注册请求从 Windows 机器“泄漏”到您的 ISP 或其他外部 DNS 服务器。

这个答案相当假设,但既然您提到了 SBS,这很可能是一个相当简单的网络,而上述内容是您获得未来所需内容的最轻松的方式。

顺便说一句,如果是我,我会使用根提示而不是转发器。我不相信我的 ISP 不会对 DNS 做出恶意操作(使用他们自己的“搜索引擎”网站进行响应,而不是返回无效域名的 NXDOMAIN 等)。

答案2

辅助 DNS 的目的是提高可靠性,而不是解析完全不同的地址空间。通常,您的内部 DNS 仅配置为转发无法在本地解析的请求。这没什么特别的,这就是 DNS 的工作方式。

我可以想象在这种情况下您的查询会比平时花费更长的时间,因为每个外部请求都必须首先在主服务器上失败,然后才能发送到辅助服务器上。

答案3

我假设您这里谈论的是 Windows 计算机。

对于域成员计算机,应仅使用内部 DNS 服务器;如果需要外部名称解析,则应由内部 DNS 服务器完成。这对于域的正常运行至关重要,因为 Windows 系统使用 DNS 进行许多与 Active-Directory 相关的活动,包括(但不限于)查找域控制器。域成员计算机应该绝不配置为使用没有域数据的 DNS 服务器,例如任何外部服务器。

如果您的计算机不是域成员,您可以使用几乎任何您想要的 DNS 配置;无论如何,使用内部 DNS 服务器并让它们将查询转发到外部服务器,而不是让客户端直接与外部 DNS 服务器通信,仍然被视为最佳做法;这允许缓存和减少外部流量。

答案4

还有一件事我想提出来——看起来它被埋没了。主 DNS 服务器和辅助 DNS 服务器的目的是冗余——如果 DNS 服务在其中一个服务器上停止,您的客户端计算机应该能够继续工作而不会出现任何明显差异,假设 DNS 服务器是相同的,等等。这正是 Active Directory 将 DNS 和 AD 复制集成到域控制器中的原因(当然还有其他原因)。以下是我在类似情况下所做的事情:假设您有能力和权限更改服务器和 PIX 上的 DHCP 和 DNS 配置,请执行以下操作:

在 Pix 上,将 DHCP 分配的 DNS 服务器条目设置为两个相同的 DNS 服务器。如果是我,我会让它们成为 Windows 服务器。在您的情形下,这可能是不可能的 - 我忘记了 SBS 的交易,我不确定您的复制选项到底是什么。在 DNS 服务器上,设置权威区域来解析内部 IP 地址(尽可能采用任何 MS 默认值,并遵循最佳实践)让 DNS 服务器将查询转发到用于解析外部地址的 DNS 服务器。

这将使内部查询保持内部状态并优化性能。它将推送外部查询,而无需等待 DNS1 发送到 DNS2 以解决外部查询。在客户端,这将为您提供冗余(即一台服务器停机,他们可以在等待您到达的同时继续工作)并且 DNS 请求期间的延迟将下降 - 提高生产力。无论您是公司内部还是外部,都要让客户实现双赢。

相关内容