web-dev-qa-db-ja.com

私たちの小規模オフィスには内部DNSサーバーがありますか?

私は小規模オフィス(50人未満)を管理しています。オフィスには常に内部DNSサーバーがありました。 DNSサーバーは非常に単純ですが、過去に問題に遭遇しました。オフィスでのみ、またはVPNを介して外部で利用できるオフィスリソースがいくつかあり、パブリックアドレスとレコードを持つオフィスリソースもいくつかあります。現在、これらのリソースは同じDNS名を持っていますが、これは必ずしも要件ではなく、以前よりもはるかに少なくなっています。

社内オフィスの名前空間も既に所有しているので、パブリックDNSに社内オフィスリソースのすべてのプライベートIPアドレスを入力して、内部DNSの使用を完全に停止することが考えられます。

これは良い考えですか?私は社内DNSのない場所で働いたことはありません。それを維持する必要がある理由は何ですか?それはかつて重要でしたが、今でも便利ですが、私たちが遭遇した問題はもはや便利だと感じさせていません。

保持する現在の理由:

  • スプリットDNSにより、内部でホストされているが外部からも利用可能なリソースに同じホスト名を使用できます
  • 購入する必要のないテストドメインがいくつかありますが、それらを取り除くと必要になります。
  • ???親しみやすくて気持ちいい?

それを取り除く理由:

  • 現在IPv6はサポートされていません
  • 主にVPN構成で、DNSの分割にいくつかの問題がありました
  • 不要かもしれないサーバーのメンテナンス
9
Aaron R.

コメントから読んでいます...

100%DNSを維持します。また、LDAP実装をADに拡張します。 50人は間違いなく十分な人数です。 10名以上のユーザーがまったく技術的でなく、アクセスする必要のある複数の内部リソースがある場合は、DNSを実装します。

短所について:

  • 現在IPv6はサポートされていません

どのプラットフォームを使用していますか? IPv6をサポートする複数のプラットフォーム、つまりOpenDNSがあります。

  • 問題を引き起こすVPN構成

攻撃は意図されていませんが、たぶんあなたは解決する必要があります理由 VPN構成がDNSを破壊し、それを解決していますか? 「いや、内部DNSはVPNで動作するには複雑すぎる!」という回避策のバンドエイドよりも優れています。

  • メンテナンス

自動化、自動化、自動化-DNSエントリとシステム管理全体に対してスマートなアプローチをとっていれば、それほど難しくはありません。 DNSを根本的に変更する必要はありません(少なくとも頻繁に)。

5
kilrainebc

内部DNSを保持します必要な場合冗長にします。

  • SplitBrain DNSはめちゃくちゃですが、通常、外部レコードよりも(非常に)内部レコードが多くなります。さらに、トラフィックを分割できます。内部では内部IPを使用し、外部では外部IPを使用します。
  • ADは100%DNSに依存しています
  • DNSは再帰を使用できるため、ISPのDNSに依存していません。
  • 誰もが内部のリソースを検索できるようにしたくない
  • (DNS-)ISPに内部リソースを提供したくない

誰もがインターネットを使用しているだけで、独自のサーバーを管理する必要がない場合は、独自のDNSは必要ありません。 VPNは内部サービスのように聞こえますが、jstは内部サービスです。

  • 現在IPv6はサポートされていません

まだv6のないDNSサーバーがありますか?ここから最新情報を入手してください。

  • 主にVPN構成で、DNSの分割にいくつかの問題がありました

構成の問題は、サービスが廃止されても解消されません。外部DNSトラフィックのブレークアウトルールを含めて、VPNを正しく設定する必要があります。

  • 不要かもしれないサーバーのメンテナンス

DNSは通常小さく、独自のボックスを必要としません。 reliableサーバー(ファイルやメールなど)のいずれかに設定するだけです。

4
bjoster