Haruskah kantor kecil kami memiliki server DNS internal?


9

Saya mengelola kantor kecil (<50 orang). Kami selalu memiliki server DNS internal di kantor. Server DNS cukup mudah, tetapi kami mengalami masalah dengan mereka di masa lalu. Kami memiliki beberapa sumber daya kantor yang hanya tersedia di kantor, atau secara eksternal melalui VPN, dan kami juga memiliki beberapa sumber daya kantor dengan alamat dan catatan publik. Sumber daya tersebut saat ini memiliki nama DNS yang sama, meskipun itu belum tentu merupakan persyaratan, dan jumlahnya jauh lebih sedikit daripada sebelumnya.

Kami juga sudah memiliki namespace kantor internal, jadi bisa dibayangkan bahwa saya dapat mengisi DNS publik saya dengan semua alamat IP pribadi dari sumber daya kantor internal yang kami miliki dan berhenti menggunakan DNS internal sama sekali.

Apakah ini ide yang bagus? Saya tidak pernah bekerja di tempat yang tidak memiliki DNS kantor internal. Apa beberapa alasan mengapa kita harus tetap menyimpannya? Dulunya kritis, sekarang masih nyaman, tetapi masalah yang kita hadapi tidak membuatnya merasa nyaman lagi.

Alasan saat ini untuk tetap:

  • Split DNS memungkinkan kami menggunakan nama host yang sama untuk sumber daya yang dihosting secara internal tetapi juga tersedia secara eksternal
  • Kami memiliki beberapa domain uji yang tidak perlu kami beli tetapi perlu jika kami menyingkirkannya
  • ??? akrab dan menghibur?

Alasan untuk menghilangkannya:

  • Tidak Ada Dukungan IPv6 saat ini
  • Telah mengalami beberapa masalah dengan DNS yang dipecah, sebagian besar dengan konfigurasi VPN
  • Pemeliharaan di server yang mungkin tidak perlu

Saya pikir Anda harus mempertimbangkan hal-hal lain juga, seperti jumlah server yang Anda miliki dan stabilitas koneksi internet. jika Anda mengandalkan server DNS eksternal, apa yang terjadi jika Anda kehilangan konektivitas internet Anda untuk waktu yang lama? (ketika tidak ada informasi yang di-cache lagi) itu berarti bahwa tidak ada server Anda yang dapat berkomunikasi bersama, dan karenanya semua layanan akan turun. itu bonus untuk memiliki server DNS lokal setidaknya untuk caching dan melakukan resolusi lokal.
olivierg

1
Alasan utama untuk memiliki server DNS internal, setidaknya pada jaringan Windows, adalah untuk mendukung Active Directory dan domain Windows. Jika Anda menjalankan domain, Anda tidak dapat menyingkirkan DNS terintegrasi AD Anda. Atau, setidaknya, Anda seharusnya tidak.
Appleoddity

Kami memang memiliki server LDAP internal, bukan AD. DNS tidak terintegrasi ke dalam itu, meskipun saya bertanya-tanya apakah itu memiliki saling ketergantungan
Aaron R.

harus memiliki beberapa persyaratan dns, jika ada beberapa server LDAP, AD menggunakan SRVcatatan untuk penemuan layanan, begitu pula Dir389.
Jacob Evans

Menarik, senang tahu. Walaupun saya tidak yakin itu harus internal dalam hal apapun; Sepertinya saya kita bisa menggunakan DNS publik untuk itu.
Aaron R.

Jawaban:


5

Membaca dari komentar Anda ...

Saya akan 100% menjaga DNS. Saya juga akan memperpanjang penerapan LDAP Anda ke AD. 50 orang pasti cukup besar; Saya akan menerapkan DNS untuk> 10 pengguna jika mereka sama sekali non-teknis dan memiliki beberapa sumber daya internal yang mereka butuhkan untuk mengakses.

Mengenai kontra:

  • Tidak Ada Dukungan IPv6 saat ini

Platform apa yang Anda gunakan? Ada beberapa platform dengan dukungan IPv6 - yaitu OpenDNS

  • Konfigurasi VPN menyebabkan masalah

Tidak ada pelanggaran yang dimaksudkan, tetapi mungkin Anda harus mencari tahu mengapa konfigurasi VPN melanggar DNS dan menyelesaikannya? Ini lebih baik daripada bandaid yang bekerja di sekitar "Tidak, DNS internal terlalu rumit untuk bekerja dengan VPN!".

  • pemeliharaan

Automate, automate, automate - seharusnya tidak terlalu sulit selama Anda mengambil pendekatan cerdas untuk entri DNS dan manajemen sistem secara keseluruhan. DNS seharusnya tidak perlu diubah secara radikal (setidaknya tidak sering).


1
Hanya sekitar sepertiga dari kantor menggunakan Windows, jadi saya tidak benar-benar tertarik menambahkan lebih banyak infrastruktur untuk mengimplementasikan kontroler domain. Saya menggunakan Bind sekarang, yang tentu saja mendukung IPv6 tetapi belum diaktifkan dan itu akan memakan waktu dan usaha di pihak saya; itulah dorongan utama, sungguh; Apakah saya menempatkan diri saya pada risiko menghapus sumber daya ini dan hanya menggunakan DNS Publik, apakah saya mengatur diri saya untuk pekerjaan lebih lanjut nanti karena beberapa fitur kantor di masa depan yang memang membutuhkan DNS, dll.
Aaron R.

Maaf - diasumsikan bahwa semua orang ada di perangkat windows (Meskipun AD berfungsi dengan baik dengan Linux dan saya membayangkan ada beberapa opsi matang untuk OS X juga). Itu adalah keputusan desain yang harus Anda pertimbangkan dan tindak lanjuti. Jika Anda berpikir spesifikasi pertumbuhan dan masa depan. mungkin memerlukan lebih banyak domain terkontrol dengan DNS internal untuk sumber daya internal - lalu simpan di sekitar, atau paling tidak siap untuk boot jika Anda berpikir Anda mungkin membutuhkannya. Kalau tidak, Anda adalah kapten kapal Anda sendiri - Anda tahu? Hal semacam ini selalu merupakan pertukaran antara upaya vs hadiah yang diantisipasi. Semoga berhasil! :)
kilrainebc

4

Pertahankan DNS internal, jika perlu membuatnya berlebihan.

  • SplitBrain DNS berantakan, tetapi biasanya Anda memiliki (banyak) lebih banyak catatan internal daripada eksternal. Plus Anda dapat membagi lalu lintas: internal menggunakan IP internal, eksternal menggunakan yang eksternal.
  • AD mengandalkan 100% pada DNS
  • Anda tidak bergantung pada DNS ISP Anda, karena DNS Anda akan dapat menggunakan rekursi.
  • Anda tidak ingin semua orang dapat mencari sumber daya internal Anda
  • Anda tidak ingin memberikan sumber daya internal kepada ISP (DNS-) Anda

Anda tidak perlu memiliki DNS sendiri, ketika semua orang hanya menggunakan internet dan Anda tidak perlu mengelola server Anda sendiri. VPN kedengarannya seperti layanan internal, baru saja mereka internal.

  • Tidak Ada Dukungan IPv6 saat ini

Masih ada DNS-Server tanpa v6 di luar sana? Dapatkan informasi terbaru di sini.

  • Telah mengalami beberapa masalah dengan DNS yang dipecah, sebagian besar dengan konfigurasi VPN

Masalah konfigurasi tidak akan hilang dengan layanan yang hilang. Anda masih harus mengatur vpn dengan benar, sekarang termasuk aturan pelarian untuk lalu lintas DNS eksternal.

  • Pemeliharaan di server yang mungkin tidak perlu

DNS biasanya kecil dan tidak perlu kotak sendiri. Cukup atur satu di salah satu server andal Anda (seperti file atau email).


1
Anda mengeluarkan salah satu pertanyaan nyata yang saya miliki, mungkin pertanyaan yang lebih baik sebagai pertanyaan baru, tetapi bisakah Anda menjelaskan lebih lanjut apa yang Anda maksudkan ketika Anda mengatakan "Anda tidak ingin semua orang dapat mencari sumber daya internal Anda. " Menambahkan alamat IP pribadi dalam DNS publik jarang terjadi, tetapi adakah yang benar-benar salah dengannya? Mengapa saya peduli jika peretas dapat mencari alamat IP pribadi perusahaan saya? Mereka masih belum bisa dialihkan.
Aaron R.

3
Anda tidak ingin memberikan petunjuk apa pun kepada peretas tentang jaringan internal Anda jika keamanan Anda dilanggar. Membocorkan DNS internal Anda memberikan petunjuk tentang struktur jaringan internal, kemungkinan target yang berair ("Aha!" HRserver ada di 192.168.99.72! Terima kasih! Saya bisa langsung melakukannya, "), dll.
Brandon Xavier

1
Apakah itu benar-benar perhatian? Saya tahu ada sentimen umum dalam komunitas profesional bahwa lebih baik melindungi setiap kemungkinan informasi, tetapi saya tidak yakin seberapa kritisnya itu. Semua DNS non-publik kami dapat ditanyakan dan mereka akan mendapatkan data itu dalam 10 menit. Jadi mungkin kita menghemat waktu hacking 10 menit? Bagi saya itu tidak terlalu berharga.
Aaron R.

DNS non-publik Anda seharusnya tidak terbuka untuk permintaan .... Oleh karena itu "non-publik" ...
kilrainebc

2
Secara teknis Anda dapat menempatkan kemaluan Anda di depan umum, tetapi secara teknis Anda juga bisa mengenakan celana di depan umum (atau hanya di tempat kerja ini). Oleh karena itu mungkin , tidak ada yang ingin Anda melakukan itu dan jadi tidak ada orang IT profesional yang mau.
bjoster
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.