DMZで実行されているメールゲートウェイがあります。これは、すべてのメールを保持する内部メールサーバーのリレーです。 DMZからDNSを使用して内部サービス(内部メールサーバーなど)の名前を解決する必要性に遭遇しました。
DMZからLANへのDNSクエリを許可する必要がありますか?これにより、一部のDMZサーバーが侵害された場合、重大な違反が発生します。一方、 、DNSクエリを許可しないと、柔軟性が大幅に低下します。
スプリットブレインDNSの概念に出くわしました。これは、問題を解決するものだと思いますが、WindowsAD統合環境でどのように実現できるかはよくわかりません。
メールゲートウェイサーバー上のhosts
ファイルに、DNSで解決したいサーバーを完成させます。
そのため、かなり長い間議論した後、DMZの内部サーバーを使用することになりました。長期的には、これは管理がはるかに簡単で柔軟であり、妥協する必要があることを考えると、例えば。とにかくDMZからLANへの通信を許可するために、これはもはやそのような悪のようには見えません。
みんなの助けてくれてありがとう!
この種の状況は、AD統合ドメインが占有するセキュリティゾーンの外側に依存関係を作成しないようにする必要がある理由です。そのマークがないと、クエリをそのセキュリティゾーンに転送することに固執し、セキュリティ担当者を不機嫌にします。
この問題を回避したい場合は、DCと同じセキュリティゾーンではなく、AD統合ドメインから個別である追加の信頼できるDNSインフラストラクチャを起動する必要があります。この目的のために、新しい内部ルーティングドメインを作成します。他のセキュリティゾーンのDNSリカーサーは、これらのサーバーからのデータを消費できるようにして、この新しいDNS名前空間を会社全体で利用できるようにする必要があります。 (または少なくとも必要な場所で)