DNS público em PCs associados a domínios

Para a funcionalidade adequada do domínio Os computadores Windows precisam ser capazes de realizar pesquisas na zona DNS usada para o AD.

Se os clientes forem apontados para um servidor que não forneça respostas corretas para essa zona do AD, provavelmente esses sistemas falharão em algum momento.

É importante entender que, se um cliente fez uma pesquisa de DNS para um registro como _gc._tcp.yourdomain.example.org ou algum outro registro somente interno contra esse terceiro servidor externo, esse servidor responderá com um erro não encontrado. Seu cliente não tentará novamente essa consulta nos seus controladores de domínio. Uma resposta não encontrada é perfeitamente válida.

Se você quiser um pouco mais de redundância para o DNS em seus sites externos, eu verificaria qualquer dispositivo que esteja executando essa VPN ou o dispositivo que atua como o roteador / firewall. Veja se um desses dispositivos pode atuar como um servidor DNS de armazenamento em cache. Possivelmente você pode obtê-lo para encaminhar as solicitações de DNS interno para os DCs e solicitações não internas para o mundo. Ou, talvez, execute um servidor DNS na nuvem em algum lugar que encaminhe todas as solicitações internas para seus DCs e use qualquer método de recursão para outras solicitações.

O que eu faço em nossa rede (muitos pequenos escritórios, todos conectados em uma formação de estrelas aos nossos CDs centrais) é ter um par de pequenos servidores Raspberry Pi baratos em cada escritório. Eu uso dois para resiliência. Estes secundários nosso domínio DNS do AD dos servidores DNS / AD primários, mas também sabem como alcançar o resto do DNS do mundo sem passar pelos DCs.

Se uma VPN de escritório cair, os servidores Pi continuarão a servir DNS, e somente nossos sistemas internos na VPN ficarão temporariamente inacessíveis. Todo o resto continua sem ser afetado.

Um DNS em cache usando DCs como fonte primária e DNS público como secundário pode não ser suficiente, pois ainda usaria o DNS público para todas as recursões, respondendo com NXDOMAIN para endereços internos não armazenados em cache quando não há conexão entre Os sites. É por isso que a solução da @ roaima, seja Raspberry Pi, qualquer estação de trabalho convertida em um servidor BIND ou um servidor DNS integrado em seu roteador VPN, seria ideal: eu recomendaria a transferência de zonas completas para todos os sites. Para esse servidor, um DNS público pode ser um encaminhador para o restante, mas eu nunca o enviaria diretamente para os clientes.

Há mais do que apenas o DNS local como um resolvedor para o domínio do AD.

• Se sua VPN de site para site precisa funcionar nas duas direções, uma divisão pode atrasar temporariamente as atualizações de DNS dinâmicas. O DHCP local é capaz de armazenar em cache aqueles ou como isso é organizado, porque o computador cliente não registra automaticamente seu nome DNS quando a divisão termina.

• O perfil correto do Firewall do Windows (domínio / privado / público) é baseado na capacidade de autenticação com o controlador de domínio. Se um cliente for iniciado durante uma divisão, ele poderá ter um perfil incorreto até a próxima reconexão ou reinicialização, o que pode ser pior do que o problema NXDOMAIN .

• Se o site remoto tiver uma conectividade bastante ilimitada para o site principal, o tunelamento dividido em geral poderá tornar sua rede vulnerável, a menos que o roteador VPN também seja um firewall / UTM avançado. Ter o roteador escolhido sabiamente pode tornar a configuração do DNS mais fácil, pois é mais provável que esse tipo de solução tenha um servidor DNS totalmente funcional integrado. Além disso, as configurações são mais fáceis de implantar nos sites em comparação a uma configuração criada do zero.