我的公司, '示例.com',有一个公共主机www.example.com. (旧版 Windows 管理的)内部网络有多个内部主机internalhost1.example.com,internalhost2.example.com等等。
内部网络有一个内部私有权威 DNS 服务器,用于示例.com。公共 DNS 服务器托管在互联网上的某个位置。互联网上的外部用户无法解析内部主机,因为它们在公共 DNS 服务器上不可用。内部用户可以解析内部主机,因为他们使用内部 DNS 服务器进行解析。
现在,公共 DNS 正在通过 DNSSEC 进行保护。我已经验证,目前内部客户端似乎并不关心外部 DNS 是否受 DNSSEC 保护,它们只是继续信任内部 DNS 服务器,客户端处于“未验证”状态。
现在我的问题是,是否有任何计划或路线图强制所有客户端验证 DNSSEC?如果我们使用 DNSSEC 保护公共 DNS 并保持私有 DNS 非 DNSSEC,上述设置将工作多长时间?一年?十年?永远?我们应该将内部域转换为例子.local或者我们可以把它留下来示例.com?
答案1
TLDR;如果您管理您的工作站,那么您的工作站将始终按您的预期工作。
内部系统应该是公共域的子域,然后您可以使用父域委托/签署内部区域,并且不再需要拆分 DNS 作为外部记录(www.example.com) 会进行外部解析,您可以添加指向内部、外部的 A 记录,但不能添加内部 IP 的胶水记录。此外,我建议始终使用您控制的域名,而不是虚假的 example.local,绝对不是 domain.companytld
窗户(命名解析策略表(NRPT))和 linux(systemd-resolve) 都支持 DNSSEC 验证的客户端设置以及指定应始终签名的域的能力。
其他需要考虑的事情,DoH(HTTPS 上的 DNS)可以绕过所有现有的安全和 DNS 操作。