今天晚上我已经阅读了一些关于如何最好地build立我们的学校networking来连接互联网的问题。 它按原样运行,但客户机/服务器不时会打到Internet上。 (注意:Sonicwall总是看到互联网)
我的设置是:
互联网— Sonicwall —pipe理交换机— Win 2k8 R2服务器| 客户和打印机
Sonicwall
Windows Server(只是一个内部文件服务器)
客户
所以,对于问题:
从今天晚上我读到的,似乎我应该有:
任何人都可以validation此? 我很困惑。 如果Sonicwall看起来服务器的Internet DNS不通过我的客户端A)使服务器停止运行,并且B)服务器closures时没有Internet?
如果这不是最佳实践,那么是什么? 我已经做对了吗? 客户端DNS是否应该查看服务器和ISP?
谢谢! 克里斯
由于服务器正在运行Active Directory / DNS,因此客户端必须将其DNS设置为服务器,以便正确parsing/连接到内部资源。
关键是将服务器的DNS服务configuration为将所有非本地查询转发给外部parsing器(如Google [8.8.8.8; 8.8.4.4])。 DNSstream量非常小,除非您将caching设置得太低,否则它不应该对服务器有任何明显的影响。
应将服务器的networking堆栈configuration为查找127.0.0.1(或其本地地址)以进行DNSparsing,并使用转发器configuration服务。
就Sonicwall而言,你可以任意设置。 如果您希望Sonicwall能够parsing内部和外部FQDN,则需要使用本地服务器进行parsing。 如果您只需要外部,则将其设置为您的ISPparsing器或Google的。
正如JuxVP已经指出的,任何join域的Windows客户端都必须将其DNS设置为AD服务器,否则许多服务将失败,尤其是身份validation。 所有其他内部客户端应将其DNS设置为AD服务器,如果您希望他们parsing内部名称。
此外,join域的Windows客户端必须没有任何其他列出的DNS服务器无法parsingAD查询b / c Windows不保证查找顺序。 例如:如果您在客户端上有以下configuration:
DNS1: 192.168.10.10 (AD server) DNS2: 8.8.8.8 (Google DNS) 那么你可能会有authentication问题,不寻常的悬挂,或其他沟通问题。 这是B / C客户端可能会查询谷歌的DNS为adserver.domain.local和谷歌的服务器将作出回应does not exist而不是超时。 如果第一个服务器没有响应,客户端将只尝试其他服务器。 如果客户端收到一个does not exist响应,它将放弃,查找将失败。
由于您在教育部门工作,我build议configuration您的内部DNS服务器将所有请求转发给OpenDNS。 他们提供专门的计划,只为K-12坚持CIPA合规[0]。 他们还提供恶意软件保护,在恶意资源的请求将被阻止。
通过以上configuration,设置每个主机/设备/等。 在您的networking上使用您的内部DNS服务器。 这样做将确保您的客户端在内部成功连接到彼此,在运行Microsoft Active Directory时尤为重要。
接下来,将所有路由器ACL和防火墙规则configuration为仅允许从内部DNS服务器到OpenDNS服务器的出站DNS查询。 这样做的好处是一些恶意软件会尝试直接向公用名称服务器执行DNS查询。 这种configuration可以确保请求将通过您的服务器,并最终通过OpenDNS在希望被捕获的地方进行。 任何发现不使用内部DNS服务器的主机(防火墙丢弃日志)都应该被调查为错误configuration或恶意软件,因为这可能是一个妥协的指标。
最后,实施路由器ACL和/或防火墙规则,阻止从公共互联网访问您的DNS服务器。
[0] https://www.opendns.com/enterprise-security/solutions/k-12/