web-dev-qa-db-ja.com

WindowsサーバーおよびSonicwallでのDNSとの混同

私は今夜​​、インターネット接続のために学校のネットワークを最適に設定する方法について少し読んでいます。そのまま動作しますが、インターネットへのクライアント/サーバーアクセスに問題が発生することがあります。 (注:Sonicwallは常にインターネットを見ています)

私のセットアップはそのままです:

インターネット--- Sonicwall ---マネージドスイッチ--- Win2k8r2サーバー|クライアントとプリンター

ソニックウォール

  • IP範囲内のIPを持つLANゾーン
  • 静的ISPが割り当てたIPとDNSがバックアップとしてGoogleDNSとISPのDNSに設定されているWANゾーン

Windows Server(内部ファイルサーバーのみ)

  • Active Directory
  • DNS(127.0.0.1に設定)
  • 狭いゲスト範囲(電話)のDHCPを動的に、
  • デバイスおよび学生と教師のクライアント用の静的DHCP(フィルタリングの目的で)

クライアント

  • SonicwallIPに設定されたゲートウェイ
  • DNSをサーバーIPに設定(一部のWin8システムでは、インターネット接続のために代替DNSを8.8.8.8に設定する必要がありました。

だから、質問に:

私が今夜読んだものから、私は持っているべきだと思われます:

  • Sonicwall WAN DNSのサーバーIPを内側に向ける
  • サーバーは、Google/ISPDNSを外部に向けて転送するように設定されています
  • クライアントのDNSはサーバーIPに設定され、ゲートウェイはSonicwallIPに設定されます

誰かがこれを確認できますか?私は混乱しています。ソニックウォールがサーバーでインターネットDNSを探している場合、クライアントはA)サーバーを停止し、B)サーバーがオフのときにインターネットを使用できませんか?

これがベストプラクティスではない場合、それは何ですか?私はすでにそれを正しくやっていますか?クライアントDNSはサーバーとISPを参照する必要がありますか?

ありがとう!クリス

windows-server-2008domain-name-systemsonicwall
1
Christopher Moran

サーバーはActiveDirectory/DNSを実行しているため、クライアント[〜#〜] must [〜#〜]ドメイン解決/内部リソースへの適切な接続のためにDNSをサーバーに設定する必要があります。

重要なのは、すべての非ローカルクエリを外部リゾルバー(Google [8.8.8.8; 8.8.4.4]など)に転送するようにサーバーのDNSサービスを構成することです。 DNSトラフィックは非常に小さいため、キャッシュの設定が低すぎない限り、サーバーに認識できる影響はありません。

サーバーのネットワークスタックは、DNS解決のために127.0.0.1(またはそのローカルアドレス)を参照するように構成する必要があり、サービスはフォワーダーで構成する必要があります。

Sonicwallに関する限り、どちらの方法でも設定できます。 Sonicwallで内部FQDNと外部FQDNの両方を解決できるようにする場合は、解決のためにローカルサーバーを使用する必要があります。外部のみが必要な場合は、ISPリゾルバーまたはGoogleに設定します。

4
JuxVP

JuxVPがすでに述べたように、ドメインに参加しているWindowsクライアント必須はDNSをADサーバーに設定している必要があります。そうしないと、多くのサービス、特に認証が失敗します。他のすべての内部クライアントで内部名を解決する場合は、DNSをADサーバーに設定する必要があります。

さらに、ドメインに参加しているWindowsクライアントしてはいけない ADクエリを解決できない他のDNSサーバーがリストされているb/cWindowsはルックアップの順序を保証しません。例:クライアントで次の構成を使用している場合:

DNS1: 192.168.10.10 (AD server)
DNS2: 8.8.8.8 (Google DNS)

その場合、認証の問題、異常なハング、またはその他の通信の問題が発生する可能性があります。これは、クライアントがGoogleのDNSにadserver.domain.localを照会し、Googleのサーバーがタイムアウトの代わりにdoes not existで応答するb/cです。クライアントは、最初のサーバーが応答しない場合にのみ、他のサーバーを試行します。クライアントがdoes not exist応答を受信すると、クライアントはあきらめ、ルックアップは失敗します。

1
Jens Ehrich
  • SonicwallのDNSサーバーは、ISPのDNSIPアドレス用に構成する必要があります。
  • サーバー(つまり、ドメインDNSサーバー)は、GoogleのDNSへのフォワーダーを使用して構成できます。
  • エンドポイントのDNSは、ドミアンのDNSサーバー用に構成する必要があります。
0
f1assistance

あなたは教育部門で働いているので、すべてのリクエストをOpenDNSに転送するように内部DNSサーバーを構成することをお勧めします。彼らは、K-12がCIPAコンプライアンスに準拠するための特別な計画を提供しています[0]。また、不正なリソースの要求がブロックされるマルウェア保護も提供します。

上記の設定で、すべてのホスト/デバイスなどを設定します。ネットワーク上で内部DNSサーバーを使用します。そうすることで、クライアントが内部で正常に相互に接続できるようになり、Microsoft ActiveDirectoryを実行するときに特に重要になります。

次に、すべてのルーターACLとファイアウォールルールを構成して、内部DNSサーバーからOpenDNSサーバーへのアウトバウンドDNSクエリのみを許可します。これの利点は、一部のマルウェアがパブリックネームサーバーに対して直接DNSクエリを実行しようとすることです。この構成により、リクエストはサーバーを経由し、最終的にはOpenDNSを経由して、うまくいけばキャッチされます。内部DNSサーバー(ファイアウォールドロップログ)を利用していないことが判明したホストは、侵入の痕跡となる可能性があるため、構成の誤りやマルウェアについて調査する必要があります。

最後に、ルーターACLやファイアウォールルールを実装して、パブリックインターネットからDNSサーバーへのアクセスをブロックします。

[0] https://www.opendns.com/enterprise-security/solutions/k-12/

0
user2320464