私たちの小規模オフィスには内部DNSサーバーがありますか?
私は小規模オフィス(50人未満)を管理しています。オフィスには常に内部DNSサーバーがありました。 DNSサーバーは非常に単純ですが、過去に問題に遭遇しました。オフィスでのみ、またはVPNを介して外部で利用できるオフィスリソースがいくつかあり、パブリックアドレスとレコードを持つオフィスリソースもいくつかあります。現在、これらのリソースは同じDNS名を持っていますが、これは必ずしも要件ではなく、以前よりもはるかに少なくなっています。
社内オフィスの名前空間も既に所有しているので、パブリックDNSに社内オフィスリソースのすべてのプライベートIPアドレスを入力して、内部DNSの使用を完全に停止することが考えられます。
これは良い考えですか?私は社内DNSのない場所で働いたことはありません。それを維持する必要がある理由は何ですか?それはかつて重要でしたが、今でも便利ですが、私たちが遭遇した問題はもはや便利だと感じさせていません。
保持する現在の理由:
- スプリットDNSにより、内部でホストされているが外部からも利用可能なリソースに同じホスト名を使用できます
- 購入する必要のないテストドメインがいくつかありますが、それらを取り除くと必要になります。
- ???親しみやすくて気持ちいい?
それを取り除く理由:
- 現在IPv6はサポートされていません
- 主にVPN構成で、DNSの分割にいくつかの問題がありました
- 不要かもしれないサーバーのメンテナンス
コメントから読んでいます...
100%DNSを維持します。また、LDAP実装をADに拡張します。 50人は間違いなく十分な人数です。 10名以上のユーザーがまったく技術的でなく、アクセスする必要のある複数の内部リソースがある場合は、DNSを実装します。
短所について:
- 現在IPv6はサポートされていません
どのプラットフォームを使用していますか? IPv6をサポートする複数のプラットフォーム、つまりOpenDNSがあります。
- 問題を引き起こすVPN構成
攻撃は意図されていませんが、たぶんあなたは解決する必要があります理由 VPN構成がDNSを破壊し、それを解決していますか? 「いや、内部DNSはVPNで動作するには複雑すぎる!」という回避策のバンドエイドよりも優れています。
- メンテナンス
自動化、自動化、自動化-DNSエントリとシステム管理全体に対してスマートなアプローチをとっていれば、それほど難しくはありません。 DNSを根本的に変更する必要はありません(少なくとも頻繁に)。
内部DNSを保持します必要な場合冗長にします。
- SplitBrain DNSはめちゃくちゃですが、通常、外部レコードよりも(非常に)内部レコードが多くなります。さらに、トラフィックを分割できます。内部では内部IPを使用し、外部では外部IPを使用します。
- ADは100%DNSに依存しています
- DNSは再帰を使用できるため、ISPのDNSに依存していません。
- 誰もが内部のリソースを検索できるようにしたくない
- (DNS-)ISPに内部リソースを提供したくない
誰もがインターネットを使用しているだけで、独自のサーバーを管理する必要がない場合は、独自のDNSは必要ありません。 VPNは内部サービスのように聞こえますが、jstは内部サービスです。
- 現在IPv6はサポートされていません
まだv6のないDNSサーバーがありますか?ここから最新情報を入手してください。
- 主にVPN構成で、DNSの分割にいくつかの問題がありました
構成の問題は、サービスが廃止されても解消されません。外部DNSトラフィックのブレークアウトルールを含めて、VPNを正しく設定する必要があります。
- 不要かもしれないサーバーのメンテナンス
DNSは通常小さく、独自のボックスを必要としません。 reliableサーバー(ファイルやメールなど)のいずれかに設定するだけです。