我目前在一家拥有两台DNS服务器(ns1和ns2)的公司工作,该公司有两个区域:company.org和company.net。 在这两个区域中都有DMZ和内部LAN中的服务器,并在DNS服务器上启用recursion。
我正在考虑这样做:将DMZ上的所有服务器重新configuration为具有server.company.org的FQDN,并在内部LAN server.company.net上。 然后,在DMZ上有一个DNS服务器,只有company.org区域和内部局域网上的另一台DNS服务器,它只托pipecompany.net区域。
这是明智的,还是有更好的解决办法? 如果使用这个,必须启用和禁用哪个DNS服务器recursion? 那么转发呢?
非常感谢。
你没有清楚地expression你的目标,所以提供一个具体的build议是困难的。
然而,为了便于pipe理和安全,使用一个域名面向公众服务,另一个域名用于内部服务是有益的,而不是技术上要求的。
例如,您可以将所有面向公众的服务放在一个域中。 然后使用DNS服务提供商或注册商pipe理该域的DNSlogging。 这样做将允许您停止在DMZ中运行DNS服务器。
在内部,您可能需要检查networking设备提供的DNS服务(如果有)。 某些networking设备可能允许您直接在设备中pipe理DNS。
如果没有,那么考虑专用于内部DNS的小型VPS系统。 您可以发布自己的内部资产logging,然后configuration系统以处理recursion和DNScaching。 这样内部资产的知识产权和域名是不可公开发现的。
在您的内部服务器上,您可以使用正向cachingDNS设置,使用OpenDNS或Google的DNS等服务进行recursion。 这些公共DNS服务包括一些安全function,这些function不会自行执行DNSrecursion。 这通常是向小型办公室或分支networking添加额外安全性的简单而廉价的方式。