Windows 服务器和 Sonicwall 上的 DNS 混淆

tag-icon tag-icon windows-server-2008 domain-name-system sonicwall
Windows 服务器和 Sonicwall 上的 DNS 混淆

今晚我一直在阅读有关如何最好地设置我们的学校网络以实现互联网连接的文章。它按原样工作,但客户端/服务器访问互联网时有时会出现问题。(注意:Sonicwall 始终可以访问互联网)

我的设置是:

互联网---Sonicwall---管理交换机---Win 2k8 r2 服务器 | 客户端和打印机

索尼克沃尔

  • 具有我们 IP 范围内的 IP 的 LAN 区域
  • WAN 区域具有静态 ISP 分配的 IP 和 DNS 设置为 Google DNS 并将 ISP 的 DNS 设置为备份

Windows Server(仅是内部文件服务器)

  • 活动目录
  • DNS(设置为 127.0.0.1)
  • 为小范围的访客(电话)动态提供 DHCP,
  • 为设备和学生及教师客户端静态提供 DHCP(用于过滤目的)

客户

  • 网关设置为 Sonicwall IP
  • DNS 设置为服务器 IP(在某些 Win8 系统上,我必须将备用 DNS 设置为 8.8.8.8 以实现 Internet 连接。

因此,对于问题:

从我今晚读到的内容来看,我似乎应该:

  • Sonicwall WAN 向内查找服务器 IP 以获取 DNS
  • 服务器设置为转发以向外查找 Google/ISP DNS
  • 客户端 DNS 设置为服务器 IP,网关设置为 Sonicwall IP

有人能验证一下吗?我很困惑。如果 Sonicwall 依靠服务器获取互联网 DNS,我的客户端会不会 A) 拖慢服务器速度,B) 当服务器关闭时无法上网?

如果这不是最佳实践,那什么是最佳实践?我这样做对了吗?客户端 DNS 是否应该同时查看服务器和 ISP?

谢谢!克里斯

答案1

由于服务器正在运行 Active Directory/DNS,因此客户端必须将其 DNS 设置为服务器,以便正确解析域/连接内部资源。

关键是将服务器的 DNS 服务配置为将所有非本地查询转发到外部解析器(如 Google [8.8.8.8; 8.8.4.4])。DNS 流量非常小,除非您将缓存设置得太低,否则它不会对您的服务器产生任何明显的影响。

应配置服务器的网络堆栈以查找 127.0.0.1(或其本地地址)进行 DNS 解析,并使用转发器配置服务。

就 Sonicwall 而言,您可以以任意方式进行设置。如果您希望 Sonicwall 能够解析内部和外部 FQDN,则需要使用您的本地服务器进行解析。如果您只需要外部服务器,则将其设置为您的 ISP 解析器或 Google 的解析器。

答案2

正如 JuxVP 所说,任何加入域的 Windows 客户端必须将其 DNS 设置为 AD 服务器,否则许多服务将失败,尤其是身份验证。如果希望其他所有内部客户端解析内部名称,则应将其 DNS 设置为 AD 服务器。

此外,加入域的 Windows 客户端一定不列出的其他 DNS 服务器无法解析 AD 查询,因为 Windows 无法保证查找顺序。例如:如果您在客户端上有以下配置:

DNS1: 192.168.10.10 (AD server)
DNS2: 8.8.8.8 (Google DNS)

那么您可能会遇到身份验证问题、异常挂起或其他通信问题。这是因为客户端可能会查询 Google 的 DNS,adserver.domain.local而 Google 的服务器会响应does not exist而不是超时。如果第一个服务器没有响应,客户端才会尝试另一个服务器。如果客户端收到响应does not exist,它将放弃并且查找将失败。

答案3

  • Sonicwall 的 DNS 服务器应配置为您的 ISP 的 DNS IP 地址。
  • 您的服务器(即域 DNS 服务器)可以配置至 Google DNS 的转发器。
  • 应为域的 DNS 服务器配置端点的 DNS。

答案4

由于您从事教育行业,我建议您配置内部 DNS 服务器,将所有请求转发到 OpenDNS。他们提供专门针对 K-12 的特殊计划,以遵守 CIPA 合规性 [0]。他们还提供恶意软件保护,可阻止对恶意资源的请求。

配置完上述内容后,请将网络上的每个主机/设备等设置为使用内部 DNS 服务器。这样做可确保您的客户端能够成功地在内部相互连接,这在运行 Microsoft Active Directory 时尤为重要。

接下来,配置所有路由器 ACL 和防火墙规则,以仅允许从内部 DNS 服务器到 OpenDNS 服务器的出站 DNS 查询。这样做的好处是,一些恶意软件会尝试直接对公共名称服务器执行 DNS 查询。此配置可确保请求将通过您的服务器,并最终通过 OpenDNS,希望它能被捕获。任何未使用内部 DNS 服务器(防火墙丢弃日志)的主机都应进行调查,以查看是否存在配置错误或恶意软件,因为这可能是受到攻击的迹象。

最后,实施路由器 ACL 和/或防火墙规则以阻止从公共互联网访问您的 DNS 服务器。

[0]https://www.opendns.com/enterprise-security/solutions/k-12/

相关内容