使用公共 DNS 服务(如 Google 的 8.8.8.8/8.8.4.4)作为企业网络 DNS 服务是否有任何缺点,例如将其作为 AD DC 的网络连接 DNS 服务器?如果没有缺点,似乎每个人都会更喜欢易于记忆且具有 Googlific 的服务,而不是 ISP 特定服务的大杂烩。
答案1
最大的缺点是许多公司运行的 DNS 区域不公开可见。
其中最重要的一个就是 AD DNS 域。此类域通常基于尚不存在的 TLD,例如 .company、.local DNS 域和非公共子域(如 ad.us.example.com)。如果您有一台带域的机器,则需要能够解析这些域才能正常工作。
公司还倾向于运行拆分 DNS 系统,其中内部服务器对 example.com 的视图与公共 DNS 服务器不同。一些公司可能在单个域中拥有所有 9 个可外部解析的地址,但在内部拥有数百个地址,这使得手动编辑内部专用 DNS 服务器中少数可外部查看的资源成为可能。peoplesoft-ha2.example.com可能在内部解析,但不能在外部解析。
最后,许多人利用未在互联网上公开的子域名。子域名如 it.us.example.com,其中公共 example.com 没有 us. 域名的胶合记录,但内部 DNS 服务器有。
答案2
我个人喜欢运行自己的 DNS 服务器。这主要是因为 sysadmin1138 指出的原因(我们运行具有许多内部区域的水平分割 DNS),但也因为我喜欢知道我不会受到互联网上任何奇怪行为的影响(想想您的家庭 ISP - 我敢打赌,当您访问 http:/www.this.domain.doesnt.exist.com/ 时,他们会尝试为您提供一个“有用的”页面,这意味着他们的 DNS 返回的不是NXDOMAIN不存在的域)。
如果您没有任何理由运行自己的 DNS 服务器,这实际上是个人偏好的问题:
理论上使用本地 DNS 将缩短查询的往返时间,并提高速度。
几乎差异可能为 1-200 毫秒,有时 Google 会更快(例如,如果他们已经缓存了记录,而不必向上级询问)。
不过,这全都只是个人观点——归根结底还是“做对您和您的客户有意义的事情”。
答案3
既然您确实澄清了您的意思是使用公共 DNS 作为转发器,并且我假设您当前正在为此使用您的 ISP,那么我能看到的只有 2 个缺点。
首先,正如所提到的,您可能无法正确接收不存在的域的 NXDOMAIN 记录,而是直接进入帮助站点。我不相信 Google 会这样做,我知道 OpenDNS 会这样做,但有一个关闭它的选项,但对于您正在调查的人来说,这值得一试。
另一个需要担心的问题是您的搜索查询是否会被记录或以其他方式被外部看到,这取决于企业是否确定这是个问题。
话虽如此,ISP DNS 服务器也可能存在这些缺点。解决这些问题的唯一方法是运行您自己的独立 DNS 服务器,这将需要支持更多服务器,或者让您的 AD DNS 服务器不使用转发器,并让它们使用根提示。后者几乎肯定不会表现得那么好,所以它可能不是您的最佳选择。
我怀疑这取决于您的速度,在这种情况下,您应该对一系列 DNS 查找进行一些测试,针对您正在研究的几个不同的选项来确定从您的位置来看哪个选项是最快的。