Confusão com DNS no servidor Windows e Sonicwall

Navegue suas respostas
1

Eu tenho lido um pouco esta noite sobre como configurar melhor nossa rede escolar para conectividade com a Internet. Funciona como está, mas há falhas no acesso de cliente / servidor à Internet de tempos em tempos. (nota: o Sonicwall sempre vê a Internet)

Minha configuração como está:

Internet --- Sonicwall --- Switch Gerido --- Win 2k8 r2 Server                               |                            Clientes & Impressoras

O Sonicwall

  • Zona da LAN com um IP em nosso intervalo de IP
  • Zona WAN com IP e DNS atribuídos pelo ISP estáticos configurados como DNS do Google e DNS do ISP como backup

O Windows Server (apenas um servidor de arquivos interno)

  • Active Directory
  • DNS (definido para 127.0.0.1)
  • DHCP dinamicamente para um pequeno intervalo de visitantes (telefones),
  • DHCP estaticamente para dispositivos e aluno & clientes do professor (para fins de filtragem)

Os clientes

  • Gateway definido para o Sonicwall IP
  • DNS definido como IP do servidor (em alguns sistemas Win8 tive que configurar um DNS alternativo para 8.8.8.8 para conectividade com a Internet.

Então, para perguntas:

Pelo que eu li esta noite, parece que eu deveria ter:

  • A WAN do Sonicwall olhando para dentro do IP do servidor para DNS
  • O servidor definido para ter o encaminhamento para procurar o DNS do Google / ISP
  • O DNS dos clientes definido como IP do servidor e Gateway para o Sonicwall IP

Alguém pode confirmar isso? Estou confuso. Se o Sonicwall olha para o servidor para DNS da Internet não vai meus clientes A) atolar o servidor e B) não tem Internet quando o servidor está desligado?

Se esta não é uma prática recomendada, então o que é? Já estou fazendo certo? O DNS do cliente deve procurar o servidor E o ISP?

Obrigado! Chris

    
por Christopher Moran 15.05.2015 / 05:08

4 respostas

4

Como o servidor está executando o Active Directory / DNS, os clientes DEVEM ter seu DNS definido para o servidor para resolução / conectividade de domínio adequada aos recursos internos.

A chave é ter o serviço DNS do servidor configurado para encaminhar todas as consultas não locais para um resolvedor externo (como o Google [8.8.8.8; 8.8.4.4]). O tráfego de DNS é tão pequeno que não deve ter nenhum efeito perceptível em seu servidor, a menos que você tenha o cache configurado muito baixo.

A pilha de rede do servidor deve ser configurada para olhar para 127.0.0.1 (ou seu endereço local) para resolução DNS e o serviço configurado com encaminhadores.

Na medida em que o Sonicwall se relaciona, você pode configurá-lo de qualquer maneira. Se você quiser que o Sonicwall consiga resolver os FQDNs internos e externos, ele precisará usar o servidor local para a resolução. Se você precisar apenas de externo, defina-o como resolvedores de ISPs ou do Google.

    
por 15.05.2015 / 14:17
1

Como o JuxVP já declarou, todos os clientes Windows que fazem parte do domínio devem ter seu DNS configurado para o servidor do AD, caso contrário, muitos serviços falharão, especialmente a autenticação. Todos os outros clientes internos devem ter seu DNS configurado para o servidor do AD se você quiser que eles resolvam nomes internos.

Além disso, os clientes Windows ingressados no domínio não devem ter nenhum outro servidor DNS listado que não possa resolver as consultas do AD b / c O Windows não garante a ordem de pesquisa. Ex: se você tem a seguinte configuração em um cliente: 

DNS1: 192.168.10.10 (AD server)
DNS2: 8.8.8.8 (Google DNS)

então você provavelmente terá problemas de autenticação, pendências incomuns ou outros problemas de comunicação. Isso é b / c, o cliente pode consultar o DNS do Google por adserver.domain.local e o servidor do Google responderá com does not exist em vez de um tempo limite. O cliente só tentará o outro servidor se o primeiro não responder. Se o cliente receber uma resposta does not exist , ele desistirá e a pesquisa falhará.

    
por 25.05.2015 / 21:01
0
  • O servidor DNS da Sonicwall deve ser configurado para o endereço IP de DNS do seu provedor.
  • Seu servidor (por exemplo, servidor DNS de domínio) pode ser configurado com encaminhadores para o DNS do Google.
  • O DNS do endpoint deve ser configurado para o servidor DNS do Domian.
por 15.05.2015 / 13:11
0

Como você trabalha no setor educacional, recomendo configurar seu servidor DNS interno para encaminhar todas as solicitações ao OpenDNS. Eles oferecem planos especiais apenas para o K-12 para aderir ao cumprimento da CIPA [0]. Eles também oferecem proteção contra malware, onde solicitações de recursos nefastos serão bloqueadas.

Com o acima configurado, defina cada host / dispositivo / etc. na sua rede para usar seu servidor DNS interno. Fazer isso garantirá que seus clientes se conectem uns aos outros internamente e seja especialmente importante ao executar o Microsoft Active Directory.

Em seguida, configure todas as ACLs e regras de firewall do roteador para permitir apenas consultas DNS de saída do servidor DNS interno para os servidores OpenDNS. O benefício disso é que alguns malwares tentam realizar consultas DNS diretamente aos servidores de nomes públicos. Essa configuração garante que a solicitação passará pelos seus servidores e, finalmente, pelo OpenDNS, onde, esperamos, ela será detectada. Qualquer host encontrado que não esteja utilizando o servidor DNS interno (logs de queda de firewall) deve ser investigado por erros de configuração ou malware, pois isso pode ser um indicador de comprometimento.

Por fim, implemente as ACLs do roteador e / ou as regras de firewall para bloquear o acesso ao seu servidor DNS da Internet pública.

[0] link

    
por 25.05.2015 / 22:07

Tags

configuração postgrey no Fedora Core 21 é muito diferente, e não documentada Verificação de dispositivos de rede pelo endereço mac