我负责管理一堆通过 VPN 连接的远程办公室 - 每个办公室的 Cisco ASA 5505 充当防火墙和 VPN 端点。
除此之外,我们尽量简化办公室事务,以最大程度地减少支持负担。除了足够大的办公室(需要专门的 IT 人员)外,我们没有任何类型的服务器。基本上有 ASA、一些计算机、网络打印机和交换机。
我在许多办公室中看到的一个问题是,查找我们网络内主机的 DNS 请求经常失败 - 我假设超时是因为办公室的互联网连接(它们都在发展中国家)具有一些次优质量(例如由 VSAT 段引起的高延迟或数据包丢失)。
对此问题最明显的解决方案是拥有某种能够满足本地请求的本地 DNS 服务 - 因此我认为它需要从总部的 Microsoft Windows 2008 R2 DNS 服务器进行区域传输。但是,在每个办公室简单地安装 Windows 服务器既昂贵又会造成支持负担。这让我想到了嵌入式设备上的 pfsense/m0n0wall - 它们可以充当 DNS 服务器,并且可以在总部进行配置并发送出去,只需插入网络,然后本地员工就可以忘记它了。也许 ASA 5505 有一些替代方案,其中包括一些 DNS 功能。
这里有没有人处理过这个问题,要么使用某种嵌入式设备,要么找到了其他解决方案?有什么陷阱或理由可以避免我所建议的做法吗?
答案1
两件事情:
如果网络连接不稳定,那么拥有本地 DNS 服务器又有什么用呢?他们只能用它来解析外部资源(网站)的 DNS。如果他们因为网络连接不稳定而无法访问总部资源,那么我认为浏览互联网就毫无意义,除非他们工作需要这样做。
如果这些远程计算机加入了 AD 域,那么使用除支持该 AD 域的 DNS 服务器之外的任何 DNS 服务器都不是一个好主意,而且肯定违背了最佳实践。