O nosso pequeno escritório deve ter servidores DNS internos?

9

Eu administro um pequeno escritório (< 50 pessoas). Sempre tivemos servidores DNS internos no escritório. Os servidores DNS são bem diretos, mas já tivemos problemas com eles no passado. Temos alguns recursos de escritório disponíveis apenas no escritório, ou externamente através de VPN, e também temos alguns recursos de escritório com endereço público e registro. Esses recursos atualmente têm o mesmo nome DNS, embora isso não seja necessariamente um requisito, e há muito menos deles do que costumava ser.

Também já possuímos o namespace de escritório interno, por isso é possível que eu preencha meu DNS público com todos os endereços IP privados dos recursos internos do Office que possuímos e pare de usar completamente o DNS interno.

É uma boa ideia? Eu nunca trabalhei em um lugar que não tenha DNS interno. Quais são algumas das razões pelas quais devemos continuar com isso? Já foi crítico, agora ainda é conveniente, mas os problemas que enfrentamos não estão fazendo com que pareça mais conveniente.

Razões atuais para manter:

  • O DNS dividido nos permite usar o mesmo nome de host para os recursos hospedados internamente, mas também disponíveis externamente
  • Temos alguns domínios de teste que não precisávamos comprar, mas precisariam ser removidos deles
  • ??? é familiar e reconfortante?

Razões para se livrar disso:

  • Não há suporte a IPv6 atualmente
  • Houve vários problemas com o DNS sendo dividido, principalmente com configuração de VPN
  • Manutenção em um servidor que pode ser desnecessário
por Aaron R. 24.11.2017 / 19:30

2 respostas

5

Lendo seus comentários ...

Eu teria 100% de manter o DNS. Eu também estenderei sua implementação LDAP para o AD. 50 pessoas são definitivamente grandes o suficiente; Eu implementaria o DNS para > 10 usuários se eles não fossem técnicos e tivessem vários recursos internos que precisassem acessar.

Em relação aos contras:

  • Não há suporte a IPv6 atualmente

Qual plataforma você usa? Existem várias plataformas com suporte a IPv6 - ou seja, OpenDNS

  • Configuração da VPN que está causando problemas

Sem ofensa, mas talvez você deva descobrir por que as configurações da VPN estão quebrando o DNS e resolvendo isso? É melhor do que o trabalho em torno de bandaid de "Não, o DNS interno é muito complicado para trabalhar com a VPN!".

  • a manutenção

Automatize, automatize, automatize - não deve ser muito difícil, contanto que você adote uma abordagem inteligente às entradas de DNS e ao gerenciamento do sistema como um todo. O DNS não deveria ter que ser radicalmente alterado (pelo menos não com frequência).

    
por 27.11.2017 / 16:46
4

Mantenha o DNS interno, se necessário torne-o redundante.

  • O SplitBrain DNS é uma bagunça, mas geralmente você tem (muito) mais registros internos do que externos. Além disso, você pode dividir seu tráfego: usa internamente IPs internos e usa externamente os externos.
  • o AD confia em 100% no DNS
  • Você não depende do DNS dos seus ISPs, porque seu DNS poderá usar a recursão.
  • Você não quer que todos possam procurar seu recurso interno
  • Você não deseja fornecer recursos internos para o seu (DNS-) ISP

Você não precisa do seu próprio DNS, quando todos estão usando a internet e você não precisa gerenciar seus próprios servidores. VPN soa para mim como serviços internos, jst kepp-los internos.

  • Não há suporte a IPv6 atualmente

Ainda existem servidores DNS sem v6 por aí? Mantenha-se atualizado aqui.

  • Houve vários problemas com o DNS sendo dividido, principalmente com configuração de VPN

Os problemas de configuração não desaparecem quando um serviço é interrompido. Você ainda terá que configurar a vpn corretamente, agora incluindo regras de quebra para o tráfego DNS externo.

  • Manutenção em um servidor que pode ser desnecessário

O DNS é geralmente pequeno e não precisa de uma caixa própria. Basta configurar um em um dos seus servidores confiáveis (como arquivos ou e-mails).

    
por 01.12.2017 / 15:00