我继承了一个 LAN,其中实际上没有对本地资源进行名称解析……即所有用户都手动输入 IP 地址来访问打印机和网络共享。也没有 LDAP 服务器或域……工作站无需身份验证即可连接到网络。DHCP 通过核心交换机处理……并且 DNS 设置也由同一核心交换机分发。当前,DNS 分配如下,顺序如下:
10.1.1.50 / old Pentium III Windows 2003 box running DNS service- 128 MB RAM
169.200.x.x / ISP
4.2.2.2. / the well known public one
LAN 上有几千个客户端......并且大多数活动是网页浏览(这是一个教育环境)。
首先,服务器似乎严重不足以完成这项任务......但客户端上网时几乎没有出现任何速度缓慢的情况......
一个使用频繁的 DNS 服务器应该具有多大的马力?
我也听说过使用 4.2.2.2 不是一个好主意.... 因为它已经被过度使用了...
最后,首先列出一个强大的外部 DNS 服务器不是很有意义吗?(Google 的 8.8.8.8 似乎是一个合理的候选者)
答案1
由于该服务器显然没有受到压力,我倾向于认为没有理由进行任何更改。您描述的网络实际上不需要内部 DNS,而且没有它甚至可能(短暂地?)减慢学生的黑客攻击尝试,因为不会立即清楚哪台机器做什么。
由于你根本没有表明目前的系统运行不完美,因此实际上没有需要去改变任何事。
关于
Google 的 8.8.8.8 似乎是一个合理的候选者
为什么这是合乎逻辑的?为什么不直接使用 ISP 的 DNS 或其他未经过滤的来源?
我甚至会进一步删除 4.2.2.2,因为它被客户端攻击的可能性微乎其微。毕竟,2003 年的机器和 ISP 的 DNS 都必须关闭才能发生这种情况。如果您确实需要第三个 DNS 源,请添加 ISP 的辅助 DNS 源。
答案2
当你将业务外包给另一家公司时,尤其是那些免费外包的公司,你可能会考虑他们能从中得到什么。Google 从事信息业务,他们从另一个方面了解你(或你的用户)的流量模式。
如果我所在的大学使用谷歌的名称服务,我会很快提出隐私问题。
有些事情最好还是自己处理,DNS 解析似乎就是其中之一。如果你无法或不愿意运行稳定的服务器,比如绑定然后购买一个设备来进行本地DNS解析。
小型站点的 DNS 可以在非常小的机器上运行,但我不会启用 DNSSEC。:)
答案3
我在一所大学工作,我们使用内部 DNS 服务器来处理仅供内部使用的条目,除此之外,所有查找都会转发到 Google 的 8.8.8.8/8.8.4.4 而不会出现任何问题。
答案4
使用内部 DNS 服务器的原因:
- 您拥有非公开的内部域,或者与公开可用的内部域不同。
- 您可能想摆弄缓存和其他性能方面的东西。
- 您想记录 DNS 查询来监控谁去了哪里。
- 您想要阻止某些内容(请注意,人们会通过将其 DNS 服务器更改为 8.8.8.8 或其他地址来规避此问题,因此您必须在防火墙上阻止除您的服务器之外的任何 DNS)
- 您想要重定向某些域名(例如将 facebook.com 重定向至就业条款政策)(当然,您会遇到与阻止域名相同的问题)
- 您想真正了解 DNS 的工作原理。
- 你是一个控制狂。
- 你真是个爱管闲事的人。