我们有一个运行在DMZ中的邮件网关,它是我们内部邮件服务器的一个中继站,用于存放所有的邮件。 我们已经满足了从DMZ使用DNS来parsing内部服务名称(如内部邮件服务器等)的需求。
我们应该允许从DMZ到LAN的DNS查询吗? 如果一些DMZ服务器遭到入侵,这将导致严重违规。 另一方面,不允许DNS查询使我们更不灵活。
我认为这是一个裂脑DNS的概念,我认为这个问题可以解决这个问题,但是我不太明白在一个Windows AD集成环境中如何实现它。
使用您想要通过DNSparsing的服务器,完成邮件网关服务器上的hosts文件。
所以在讨论了一段时间之后,我们使用了DMZ内部的服务器。 从长远来看,这似乎更容易和灵活的pipe理,并作出必要的妥协; 例如。 无论如何也允许从DMZ到LAN的通信,这似乎不再是这样的罪恶。
感谢大家的帮助!
这种情况就是为什么您应该尽量避免在他们所占用的安全区域以外的AD集成域上创build依赖关系。 如果没有这个标志,你会被困在转发查询的安全区域,这使安全人员胡思乱想。
如果你想避免这个问题,你将需要启动额外的权威的DNS基础设施,这是独立于AD集成域,而不是与DC相同的安全区域。 为此创build一个新的内部路由域。 应允许来自其他安全区域的DNS recursors使用这些服务器的数据,从而使得这个新的DNS名称空间在整个公司内都可用。 (或者至less在你需要的地方)