目前我们有以下设置。 我们有两个域控制器,也作为DNS服务器,被本地客户端用作parsing器。 对于完全相同的DNS区域,我们也有外部自动DNS服务器,仅用于为外部世界服务。 这导致在两个服务器组上必须input相同logging两次的情况。
一个显而易见的解决scheme是只使用内部服务器并消除外部服务器组。 我们使用NAT,所有的内部服务器都有私有地址,例如。 192.168.1.0来自外部的请求被转发到任何需要的机器上。
问题是如果内部DNS服务器开始提供外部请求,如何避免泄漏内部地址(这将parsing为192.168 …)
我们有类似的设置,但出于安全原因,我有意将外部DNS保留在不同于内部DNS的服务器上。 只要将外部DNS移动到与内部Active Directory相同的服务器上,则必须为parsing器打开一个洞,以便与为您的内部Active Directory提供服务的计算机相连。 如果在DNS服务中出现了漏洞(如过去一样),那么攻击者可能会损害您的内部Active Directory计算机。 通过保持内部和外部的DNS在不同的机器上,你不必打开任何东西通过防火墙到内部DNS / Active Directory框保持更安全恕我直言。
有一个区域复制内联网/互联网被称为“裂脑”,你已经概述了利弊很好。 现在你必须select有利和弊端。 暗示; 生活在互联网上的less数logging的重复更新。
答案部分取决于您使用的防火墙,因为某些防火墙会为您处理DNS翻译。 无论你想依靠你的防火墙到这个程度是一个大问题(至less在我的脑海里)。 我还不清楚所有/大多数防火墙是否提供这样的function,这意味着您可能会发现自己陷入了拥塞,或者至less是移除了外部DNS服务器的供应商的子集。
回到目前的设置(以及两次做事的麻烦),听起来像是可以非常容易地自动化的东西。
最后,如果取决于你为什么要消除额外的服务器,你可能要考虑外包外部DNS服务。