在查看防火墙中的某些记录时,我注意到我有一个地址一直在 ping google 的 dns 服务器。检查我的域控制器后,我注意到它们有指向 google dns 的转发器。我想知道这些转发器是否有必要,特别是因为我的防火墙中有主 dns 地址和辅助 dns 地址。
答案1
这是一个有趣的问题。
如何设置 DNS 在很大程度上取决于您的偏好。它为您提供了很多选项。
如果需要,您可以使用 Google 的解析器作为转发器(或其他解析器,例如您的 ISP 可能为您提供的解析器)。当您这样做时,您会让他们知道您正在查找哪些域,并相信他们会提供准确的信息。DNSSEC 使信任部分不再是问题,但部署不完整。
如果需要,您可以让域控制器使用外部 DNS 服务器(例如防火墙中的服务器)作为转发器。这只会在非常大的网络中造成负载问题,但可能也没有理由这样做。
您还可以设置自己的递归解析器,使用根服务器查询委派并自行查找域(基本上执行 Google 解析器为您执行的操作),然后根本不使用任何转发器;您可以在域控制器上执行此操作,也可以为此设置 DNS 服务器。这是最值得信赖和私密的方式,但它引入了安全限制(通常必须使用 ACL 缓解 DNSa 攻击),并且性能和带宽成本更高。
由你决定!