iT邦幫忙

0

公司DNS SERVER 幾問?

架設Active Directory 入面的DNS SERVER, 裡頭入面有FORWARDER 的設定,應該用自己ISP 的DNS 或是自己對外的DNS SERVER 因為係公司自己阜管理,可以即時加減記錄?

延伸上一條問題,應該將對外的DNS SERVER,設定與Active Directory同一個NETWORK 嗎?

1 個回答

0
bluegrass
iT邦高手 1 級 ‧ 2021-02-22 14:43:04

FORWARDER 一定要用"對外+公開"的

ISP的DNS別用, 那其實不是公開的

比如, 你司有兩上網ISP A和B

如果你防火牆沒設定好, 你是有機會A的REQUEST送到B去

然後B會DROP掉的, 因為ISP的DNS只服務自己的客戶IP, 也很合理

所以, FORWARDER改用8.8.8.8/1.1.1.1/4.2.2.2比較好

然後
"將對外的DNS SERVER,設定與Active Directory同一個NETWORK 嗎?"
看不懂的說

small IT iT邦新手 5 級 ‧ 2021-02-22 14:47:30 檢舉

謝謝你的回覆.
第二條問題,應否比對外查詢的DNS SERVER在同一個網路?
dns.abc.com 外部用123.123.123.123 內部用192.168.123.123
內部的ACTIVE DIRECTORY 的DNS FORWARDER 應該用192.168.123.123 或是不應該在同一個網路上?

bluegrass iT邦高手 1 級 ‧ 2021-02-22 14:53:30 檢舉

Um... 這樣說吧, WINDOWS DNS也有"PROXY"功能, 自己沒有的A RECORD會交到FORWARDER去

因為這特性, 所以所有公司內部電腦都應該[其實是必須]用192.168.123.123作為自己的DNS

而123.123.123.123就是192.168.123.123的FORWARDER

而dns.abc.com應該已經存在你192.168.123.123上的

因為你的192.168.123.123是AD+DC而且 "dns" 這主機已經加入到abc.com 這公司DOMAIN

一般情況下你應該不需要處理這問題

而123.123.123.123就是192.168.123.123的FORWARDER 這句話不就是說 123.123.123.123 跟 192.168.123.123 是不同一台嘛
怎麼會是同一個 NETWORK 呢
基本上 DNS HOSTING 要考慮查詢者內外有別
我們這麼說好了你內部查 WWW 這台是在 192.168.123.80 這台內部主機,當然你內部的DNS 也寫好了 192.168.123.80 這台的A紀錄
而你的防火牆NAT出去之後是 123.123.123.123:80 上面
你如果在內部再加入 WWW 的A紀錄是 123.123.123.123 的話
會發生外部查詢 WWW 這個紀錄的時候有時候是 192.168.123.80 有時候是 123.123.123.123,這樣鐵定會造成錯誤的
給外部查詢的 DNS HOSTING 的IP不能有 私人IP,必須全部都是公眾IP,給內部查詢的DNS HOSTING 的IP 如果是公眾IP,而這個公眾IP是經過 NAT或是埠對應轉的,你的防火牆要支援NAT轉換才能在內部找到這個公眾IP,如果你是打算做紀錄覆蓋的話,可以把任何的外域紀錄建立在內部DNS內,直接做IP指向來覆蓋外部的紀錄,這種方式,你DNS有做轉查也沒用,因為已經是本機覆蓋,只要來查這台DNS的用戶端都會認為這台DNS的紀錄為真,並不會跟外部的DNS做相互驗證的,個人小經驗分享

我要發表回答

立即登入回答