我管理着一个小办公室(不到 50 人)。我们办公室里一直有内部 DNS 服务器。DNS 服务器非常简单,但我们过去遇到过麻烦。我们有一些办公室资源只能在办公室内使用,或者通过 VPN 在外部使用,还有一些办公室资源有公共地址和记录。这些资源目前具有相同的 DNS 名称,尽管这不是必需的,而且它们的数量比以前少得多。
我们也已经拥有内部办公室命名空间,因此可以想象,我可以用我们拥有的所有内部办公室资源的私有 IP 地址填充我的公共 DNS,并完全停止使用内部 DNS。
这是个好主意吗?我从来没有在没有内部办公室 DNS 的地方工作过。我们为什么应该保留它?它曾经至关重要,现在仍然很方便,但我们遇到的问题使它不再方便。
目前保留的原因:
- 拆分 DNS 允许我们对内部托管但也可供外部使用的资源使用相同的主机名
- 我们有几个测试域名,我们不需要购买,但如果我们要摆脱它们,就需要购买
- ??? 熟悉又舒服?
摆脱它的原因:
- 目前不支持 IPv6
- 遇到过几次 DNS 拆分问题,主要是 VPN 配置问题
- 对服务器进行可能不必要的维护
答案1
阅读您的评论...
我会 100% 保留 DNS。我还会将您的 LDAP 实施扩展到 AD。50 人绝对足够了;如果用户完全不懂技术并且需要访问多个内部资源,我会为 10 人以上的用户实施 DNS。
关于缺点:
- 目前不支持 IPv6
您使用哪个平台?有多个平台支持 IPv6 - 即 OpenDNS
- VPN 配置导致问题
无意冒犯,但也许你应该锻炼一下为什么VPN 配置破坏了 DNS,如何解决?这比“不行,内部 DNS 太复杂,无法与 VPN 配合使用!”这种临时解决办法要好得多。
- 维护
自动化、自动化、自动化 - 只要您采取明智的方法处理 DNS 条目和整个系统管理,这应该不会太难。DNS 不应该被彻底改变(至少不是经常改变)。
答案2
保留内部 DNS,如果有必要使其变得多余。
- SplitBrain DNS 很乱,但通常内部记录比外部记录多得多。此外,您可以拆分流量:内部使用内部 IP,外部使用外部 IP。
- AD 100% 依赖 DNS
- 您不依赖于您的 ISP 的 DNS,因为您的 DNS 可以使用递归。
- 你不希望每个人都能查阅你的内部资源
- 您不想向您的 (DNS-)ISP 提供内部资源
当每个人都在使用互联网并且您无需管理自己的服务器时,您不需要拥有自己的 DNS。VPN 在我看来就像内部服务,只是将它们保留在内部。
- 目前不支持 IPv6
还有没有 v6 的 DNS 服务器吗?点击此处了解最新信息。
- 遇到过几次 DNS 拆分问题,主要是 VPN 配置问题
配置问题不会随着服务的消失而消失。您仍然需要正确设置 VPN,现在包括外部 DNS 流量的突破规则。
- 对服务器进行可能不必要的维护
DNS 通常很小,不需要自己的盒子。只需在您的其中一个服务器上设置一个即可可靠的服务器(如文件或邮件)。