Solução de DNS mais simples para escritórios remotos

1

Eu cuido de um monte de escritórios remotos que se conectam via VPN - um Cisco ASA 5505 em cada escritório atua como ponto de extremidade de Firewall e VPN.

Além disso, mantemos as coisas o mais simples possível nos escritórios para minimizar a carga de suporte. Não temos nenhum tipo de servidor, exceto em escritórios grandes o suficiente para justificar que alguém se dedique a TI. Basicamente, há o ASA, alguns computadores, uma impressora de rede e um switch.

Um dos problemas que estou vendo em muitos escritórios é que as solicitações de DNS procurando hosts em nossa rede geralmente falham - estou assumindo tempos limite devido à conexão de internet dos escritórios (eles são todos em países do mundo em desenvolvimento) tendo alguns qualidades sub-ótimas (por exemplo, alta latência causada por segmentos VSAT ou perda de pacotes.

A solução óbvia para isso é ter algum tipo de serviço DNS local que possa atender a solicitações locais - por isso, acho que seria necessário fazer transferências de zona de nossos servidores DNS do Microsoft Windows 2008 R2 no HQ. No entanto, simplesmente instalar o Windows Servers em cada escritório é caro e cria uma carga de suporte. Isso me fez pensar sobre o pfsense / m0n0wall em dispositivos embarcados - eles podem atuar como um servidor DNS e podem ser configurados no HQ e enviados como algo que precisa ser conectado à rede e pode ser esquecido pela equipe localmente . Talvez existam algumas alternativas para o ASA 5505 que incluam algumas funcionalidades do DNS.

Alguém aqui lidou com o problema, usando algum tipo de dispositivo incorporado, ou encontrou alguma outra solução? Alguma dica ou razões para evitar o que eu sugeri?

    
por dunxd 16.11.2012 / 14:02

1 resposta

2

Duas coisas:

  1. Se a conexão com a Internet estiver incompleta, o melhor é ter um servidor DNS local, se tudo o que puderem fazer é usá-lo para resolver o DNS de recursos externos (sites da Web). Se eles não puderem acessar os recursos do HQ por causa da conexão de internet incompleta, não vejo sentido em poder navegar na Internet, a menos que eles precisem fazer isso para seus trabalhos.

  2. Se esses computadores remotos tiverem ingressado em um domínio do AD, usar qualquer servidor DNS que não seja o DNS que suporte esse domínio do AD não é uma boa ideia e vai contra as melhores práticas.

por 16.11.2012 / 14:27