Sollte unser kleines Büro interne DNS-Server haben?

9

Ich verwalte ein kleines Büro (<50 Personen). Wir hatten immer interne DNS-Server im Büro. DNS-Server sind ziemlich einfach, aber wir haben in der Vergangenheit Probleme damit. Wir haben einige Büroressourcen, die nur im Büro oder extern über VPN verfügbar sind, und wir haben auch einige Büroressourcen mit einer öffentlichen Adresse und Aufzeichnung. Diese Ressourcen haben derzeit denselben DNS-Namen, obwohl dies nicht unbedingt erforderlich ist, und es gibt weit weniger davon als früher.

Wir besitzen auch bereits den internen Office-Namespace, daher ist es denkbar, dass ich mein öffentliches DNS mit allen privaten IP-Adressen der internen Office-Ressourcen füllen und einfach die Verwendung von internem DNS ganz einstellen kann.

Ist das eine gute Idee? Ich habe noch nie an einem Ort gearbeitet, an dem es kein internes Office-DNS gibt. Was sind einige Gründe, warum wir es trotzdem behalten sollten? Früher war es kritisch, jetzt ist es immer noch praktisch, aber die Probleme, auf die wir gestoßen sind, machen es nicht mehr bequem.

Aktuelle Gründe zu behalten:

  • Mit Split DNS können wir denselben Hostnamen für Ressourcen verwenden, die intern gehostet werden, aber auch extern verfügbar sind
  • Wir haben ein paar Testdomains, die wir nicht kaufen mussten, aber brauchen würden, wenn wir sie loswerden würden
  • ??? es ist vertraut und tröstlich?

Gründe, es loszuwerden:

  • Derzeit keine IPv6-Unterstützung
  • Ich hatte mehrere Probleme mit der Aufteilung von DNS, hauptsächlich mit der VPN-Konfiguration
  • Wartung auf einem Server, die möglicherweise nicht erforderlich ist
internal-dns Aaron R.
quelle
Ich denke, Sie müssen auch andere Dinge berücksichtigen, wie die Anzahl der Server, die Sie haben, und die Stabilität der Internetverbindung. Wenn Sie sich auf einen externen DNS-Server verlassen, was passiert, wenn Sie Ihre Internetverbindung für längere Zeit verloren haben? (Wenn keine Informationen mehr zwischengespeichert werden) bedeutet dies, dass keiner Ihrer Server auch miteinander kommunizieren kann und daher alle Dienste ausfallen. Es ist ein Bonus, zumindest einen lokalen DNS-Server für das Caching und die Durchführung lokaler Auflösungen zu haben.
Olivierg
1
Der Hauptgrund für interne DNS-Server, zumindest in einem Windows-Netzwerk, ist die Unterstützung von Active Directory und einer Windows-Domäne. Wenn Sie eine Domain betreiben, können Sie Ihr AD-integriertes DNS nicht entfernen. Oder zumindest sollten Sie sowieso nicht.
Appleoddity
Wir haben einen internen LDAP-Server, keinen AD. Das DNS ist nicht darin integriert, obwohl ich mich frage, ob es eine gegenseitige Abhängigkeit hat.
Aaron R.
Es sollte einige DNS-Anforderungen haben. Wenn mehrere LDAP-Server vorhanden sind, verwendet AD SRVDatensätze für die Diensterkennung, ebenso wie Dir389.
Jacob Evans
Interessant, gut zu wissen. Obwohl ich nicht sicher bin, ob es auf jeden Fall intern sein muss; Mir scheint, wir könnten dafür öffentliches DNS verwenden.
Aaron R.

Antworten:

5

Lesen Sie aus Ihren Kommentaren ...

Ich würde DNS zu 100% behalten. Ich würde Ihre LDAP-Implementierung auch auf AD erweitern. 50 Leute sind definitiv groß genug; Ich würde DNS für> 10 Benutzer implementieren, wenn diese überhaupt nicht technisch sind und über mehrere interne Ressourcen verfügen, auf die sie zugreifen müssen.

In Bezug auf die Nachteile:

  • Derzeit keine IPv6-Unterstützung

Welche Plattform benutzt du? Es gibt mehrere Plattformen mit IPv6-Unterstützung - nämlich OpenDNS

  • VPN-Konfiguration verursacht Probleme

Keine Straftat beabsichtigt, aber vielleicht sollten Sie herausfinden, warum die VPN-Konfigurationen DNS beschädigen, und das lösen? Es ist besser als das Workaround von "Nein, internes DNS ist zu kompliziert, um mit dem VPN zu arbeiten!".

  • die Wartung

Automatisieren, automatisieren, automatisieren - es sollte nicht zu schwierig sein, solange Sie einen intelligenten Ansatz für DNS-Einträge und die Systemverwaltung als Ganzes verfolgen. DNS sollte nicht radikal geändert werden müssen (zumindest nicht oft).

kilrainebc
quelle
1
Nur etwa ein Drittel des Büros verwendet Windows, daher bin ich nicht wirklich daran interessiert, mehr Infrastruktur für die Implementierung eines Domänencontrollers hinzuzufügen. Ich verwende gerade Bind, das zwar IPv6 unterstützt, aber noch nicht aktiviert wurde, und das würde meinerseits Zeit und Mühe kosten. das ist wirklich der Hauptschub; Setze ich mich dem Risiko aus, diese Ressource zu entfernen und nur öffentliches DNS zu verwenden, richte ich mich später für weitere Arbeiten ein, weil eine zukünftige Office-Funktion DNS usw. benötigt
Aaron R.
Entschuldigung - angenommen, dass sich alle auf einem Windows-Gerät befanden (obwohl AD unter Linux gut funktioniert und ich mir vorstelle, dass es auch für OS X einige ausgereifte Optionen gibt). Dies sind Entwurfsentscheidungen, die Sie berücksichtigen und nach denen Sie handeln müssen. Wenn Sie an Wachstum und zukünftige Spezifikationen denken. Möglicherweise benötigen Sie mehr kontrollierte Domänen mit internem DNS für interne Ressourcen. Behalten Sie diese dann bei oder halten Sie sie zumindest zum Booten bereit, wenn Sie glauben, dass Sie sie benötigen. Ansonsten sind Sie der Kapitän Ihres eigenen Bootes - wissen Sie? Diese Art von Dingen ist immer ein Kompromiss zwischen Aufwand und erwarteten Belohnungen. Viel Glück! :)
kilrainebc
4

Behalten Sie das interne DNS bei, machen Sie es gegebenenfalls überflüssig.

  • SplitBrain DNS ist ein Chaos, aber normalerweise haben Sie (viel) mehr interne Einträge als externe. Außerdem können Sie Ihren Datenverkehr aufteilen: Intern verwendet interne IPs, extern verwendet externe.
  • AD ist zu 100% auf DNS angewiesen
  • Sie sind nicht vom DNS Ihres Internetdienstanbieters abhängig, da Ihr DNS die Rekursion verwenden kann.
  • Sie möchten nicht, dass jeder Ihre interne Ressource nachschlagen kann
  • Sie möchten Ihrem (DNS-) ISP keine internen Ressourcen zur Verfügung stellen

Sie benötigen kein eigenes DNS, wenn alle nur das Internet nutzen und Sie Ihre eigenen Server nicht verwalten müssen. VPN klingt für mich wie interne Dienste, jst kepp sie intern.

  • Derzeit keine IPv6-Unterstützung

Gibt es noch DNS-Server ohne v6? Hier können Sie sich auf dem Laufenden halten.

  • Ich hatte mehrere Probleme mit der Aufteilung von DNS, hauptsächlich mit der VPN-Konfiguration

Konfigurationsprobleme verschwinden nicht, wenn ein Dienst nicht mehr verfügbar ist. Sie müssen Ihren VPN weiterhin korrekt einrichten, einschließlich der Breakout-Regeln für den externen DNS-Verkehr.

  • Wartung auf einem Server, die möglicherweise nicht erforderlich ist

DNS ist normalerweise klein und benötigt keine eigene Box. Richten Sie einfach einen auf einem Ihrer zuverlässigen Server ein (z. B. Datei oder E-Mail).

bjoster
quelle
1
Sie bringen eine der wirklichen Fragen heraus, die ich hatte, vielleicht eine, die als neue Frage besser wäre, aber könnten Sie mehr erklären, was Sie meinen, wenn Sie sagen: "Sie möchten nicht, dass jeder Ihre internen Ressourcen nachschlagen kann. "" Das Hinzufügen privater IP-Adressen in öffentlichem DNS ist ungewöhnlich, aber stimmt etwas wirklich nicht? Warum sollte es mich interessieren, wenn Hacker die privaten IP-Adressen meines Unternehmens nachschlagen können? Sie sind immer noch nicht routingfähig.
Aaron R.
3
Sie möchten einem Hacker keine Hinweise auf Ihr internes Netzwerk geben, falls Ihre Sicherheit verletzt wird. Das Durchsickern Ihres internen DNS gibt Hinweise auf die interne Netzwerkstruktur, mögliche saftige Ziele ("Aha!" HRserver ist bei 192.168.99.72! Danke! Ich kann direkt darauf eingehen ") usw.
Brandon Xavier
1
Ist das wirklich ein Problem? Ich weiß, dass es in der Fachwelt ein allgemeines Gefühl gibt, dass es besser ist, alle möglichen Informationen zu schützen, aber ich bin mir nicht sicher, wie kritisch sie sind. Alle unsere nicht öffentlichen DNS könnten abgefragt werden und sie würden diese Daten in 10 Minuten erhalten. Vielleicht sparen wir also 10 Minuten Hacking-Zeit? Das scheint mir nicht sehr wertvoll zu sein.
Aaron R.
Ihr nicht öffentlicher DNS sollte nicht für Anfragen offen sein .... Daher "nicht öffentlich" ...
kilrainebc
2
Technisch Sie können Ihre Soldaten in der Öffentlichkeit setzen, aber technisch könnte man auch keine Hosen in der Öffentlichkeit (oder auch nur an diesem Arbeitsplatz) tragen. Daher ist es möglich , dass niemand möchte, dass Sie das jemals tun, und so würde es kein professioneller IT-Mitarbeiter tun.
Bjoster