소규모 사무실에 내부 DNS 서버가 있어야합니까?


9

소규모 사무실 (<50 명)을 관리합니다. 우리는 항상 사무실에 내부 DNS 서버를 가지고있었습니다. DNS 서버는 매우 간단하지만 과거에는 문제가 발생했습니다. 사무실에서만 또는 외부에서 VPN을 통해 사용할 수있는 일부 사무실 리소스가 있으며, 공용 주소와 레코드가있는 일부 사무실 리소스도 있습니다. 이러한 리소스는 현재 반드시 동일한 DNS 이름을 갖지만 반드시 필요한 것은 아니며 이전보다 훨씬 적습니다.

우리는 이미 내부 사무실 네임 스페이스를 소유하고 있으므로 공개 DNS를 내부 사무실 리소스의 모든 개인 IP 주소로 채울 수 있으며 내부 DNS 사용을 완전히 중단 할 수 있습니다.

이것이 좋은 생각입니까? 내부 DNS가없는 곳에서는 일한 적이 없습니다. 우리가 여전히 그것을 유지해야하는 이유는 무엇입니까? 한때 비판적 이었지만 지금은 여전히 ​​편리하지만 우리가 겪은 문제는 더 이상 편리하다고 느끼지 않습니다.

유지해야 할 현재 이유 :

  • Split DNS를 사용하면 내부적으로 호스트되지만 외부에서도 사용할 수있는 리소스에 동일한 호스트 이름을 사용할 수 있습니다
  • 구매할 필요가 없었지만 제거 할 필요가있는 몇 가지 테스트 도메인이 있습니다.
  • ??? 익숙하고 편안합니까?

그것을 제거하는 이유 :

  • 현재 IPv6 지원 없음
  • DNS가 분할되는 데 주로 VPN 구성과 관련하여 몇 가지 문제가있었습니다.
  • 불필요한 서버 유지 관리

나는 당신이 가지고있는 서버의 수와 인터넷 연결의 안정성과 같은 다른 것들도 고려해야한다고 생각합니다. 외부 DNS 서버에 의존하는 경우 인터넷 연결이 오랫동안 끊어지면 어떻게됩니까? (더 이상 정보가 캐시되지 않으면) 서버 중 누구도 함께 통신 할 수 없으므로 모든 서비스가 중단됩니다. 적어도 캐싱을 위해 로컬 DNS 서버를 보유하고 로컬 해상도를 수행하는 것은 보너스입니다.
olivierg

1
최소한 Windows 네트워크에 내부 DNS 서버가있는 주된 이유는 Active Directory 및 Windows 도메인을 지원하기위한 것입니다. 도메인을 실행중인 경우 AD 통합 DNS를 제거 할 수 없습니다. 또는 적어도 어쨌든해서는 안됩니다.
Appleoddity

AD가 아닌 내부 LDAP 서버가 있습니다. DNS는 상호 의존성이 있는지 궁금하지만 DNS에 통합되어 있지 않습니다.
Aaron R.

LDAP 서버가 여러 개인 경우 AD는 SRV서비스 검색에 레코드를 사용 하므로 Dir389 도 일부 DNS 요구 사항을 가져야합니다.
Jacob Evans

흥미롭고 알고 싶습니다. 확실하지는 않지만 어떤 경우에는 내부에 있어야합니다. 우리는 그것을 위해 퍼블릭 DNS를 사용할 수있는 것 같습니다.
Aaron R.

답변:


5

귀하의 의견을 읽는 중 ...

DNS를 100 % 유지합니다. 또한 LDAP 구현을 AD로 확장 할 것입니다. 50 명은 확실히 충분히 큽니다. 기술이 아닌 사용자가 액세스해야하는 내부 리소스가 여러 개인 경우> 10 명의 사용자에 대해 DNS를 구현합니다.

단점에 관해서 :

  • 현재 IPv6 지원 없음

어떤 플랫폼을 사용하십니까? IPv6을 지원하는 여러 플랫폼, 즉 OpenDNS가 있습니다

  • 문제를 일으키는 VPN 구성

공격 의도는 없지만 VPN 구성이 DNS를 위반 하는 이유 를 해결해야합니까? "Nope, 내부 DNS는 VPN과 함께 작동하기에는 너무 복잡합니다!"의 해결 방법보다 낫습니다.

  • 유지 보수

자동화, 자동화, 자동화-DNS 항목 및 시스템 관리 전체에 대해 현명한 접근 방식을 취하는 한 그렇게 어렵지 않아야합니다. DNS를 급격히 변경할 필요는 없습니다 (적어도 자주는 아님).


1
사무실의 3 분의 1만이 Windows를 사용하므로 도메인 컨트롤러를 구현하기 위해 더 많은 인프라를 추가하는 데 관심이 없습니다. 지금은 바인드를 사용하고 있습니다. 확실히 IPv6를 지원하지만 활성화되지 않았으므로 시간과 노력이 필요합니다. 그것이 주요 추진력입니다. 이 리소스를 제거하고 퍼블릭 DNS 만 사용하는 위험에 처하게됩니까? 나중에 DNS 등을 필요로하는 미래의 사무실 기능 때문에 더 많은 작업을 위해 나 자신을 설정하고
Aaron R.

죄송합니다-모두가 Windows 장치에 있다고 가정합니다 (AD는 Linux에서 제대로 작동하지만 OS X에 대한 성숙한 옵션도 있다고 생각합니다). 이것들은 당신이 고려해야 할 디자인 결정입니다. 당신은 성장과 미래의 사양을 생각한다면. 내부 자원에 대한 내부 DNS로 더 많은 제어 도메인의해야 할 수도 있습니다 - 다음 주위를 유지, 또는 당신은 당신이 생각하는 경우 아주 최소한 부팅하는 것을 준비 할 수 필요. 그렇지 않으면, 당신은 당신 자신의 보트 선장입니다. 이런 종류의 일은 항상 노력과 예상 보상 (들) 사이의 균형입니다. 행운을 빕니다! :)
kilrainebc

4

필요하다면 내부 DNS를 유지하십시오 .

  • SplitBrain DNS는 엉망이지만 일반적으로 외부보다 많은 내부 레코드가 있습니다. 또한 트래픽을 분할 할 수 있습니다. 내부는 내부 IP를 사용하고 외부는 외부 IP를 사용합니다.
  • AD는 DNS에 100 % 의존
  • DNS는 재귀를 사용할 수 있기 때문에 ISP의 DNS에 의존하지 않습니다.
  • 당신은 모든 사람이 당신의 내부 자원을 찾는 것을 원하지 않습니다
  • (DNS-) ISP에 내부 리소스를 제공하고 싶지 않습니다

모두가 인터넷을 사용하고 있고 자신의 서버를 관리 할 필요가없는 경우에는 DNS를 소유 할 필요가 없습니다. VPN은 내부 서비스처럼 들리며 내부적으로 사용됩니다.

  • 현재 IPv6 지원 없음

v6이없는 DNS 서버가 여전히 있습니까? 여기서 최신 정보를 얻으십시오.

  • DNS가 분할되는 데 주로 VPN 구성과 관련하여 몇 가지 문제가있었습니다.

서비스가 없어도 구성 문제는 사라지지 않습니다. 이제 외부 DNS 트래픽에 대한 분류 규칙을 포함하여 여전히 VPN을 올바르게 설정해야합니다.

  • 불필요한 서버 유지 관리

DNS는 일반적으로 작으며 자체 상자가 필요하지 않습니다. 신뢰할 수있는 서버 중 하나 (예 : 파일 또는 메일)에 설정하십시오.


1
내가 가진 실제 질문 중 하나, 아마도 새로운 질문으로 더 나을 수도있는 질문 중 하나를 내놓았지만 "모든 사람이 내부 자원을 찾을 수 있기를 원하지는 않습니다. " 퍼블릭 DNS에 프라이빗 IP 주소를 추가하는 것은 드문 일이지만 실제로 문제가 있습니까? 해커가 회사의 개인 IP 주소를 조회 할 수 있는지 걱정해야하는 이유는 무엇입니까? 그들은 여전히 ​​라우팅 할 수 없습니다.
Aaron R.

3
보안이 침해 될 경우 해커에게 내부 네트워크에 대한 단서를 제공하고 싶지 않습니다. 내부 DNS를 누출하는 등 내부 네트워크 구조에 대한 단서 가능한 육즙 목표 (!!! "아하는"HRserver가 나는 똑바로 갈 수 192.168.99.72 감사에있다 "), 제공
브랜든 자비

1
그래도 정말 걱정됩니까? 나는 전문 커뮤니티에 모든 가능한 정보 조각을 보호하는 것이 낫다는 일반적인 정서가 있다는 것을 알고 있지만 그것이 얼마나 중요한지 잘 모르겠습니다. 비공개 DNS를 모두 쿼리하면 10 분 안에 해당 데이터를 얻을 수 있습니다. 아마도 우리는 10 분 분량의 해킹 시간을 절약하고 있습니까? 그것은 나에게별로 가치가없는 것 같습니다.
Aaron R.

비공개 DNS는 쿼리에 공개되어서는 안됩니다 .... 따라서 "비공개"...
kilrainebc

2
기술적으로 는 개인을 공개적으로 배치 할 있지만 기술적으로는 공개적으로 (또는이 직장에서) 바지를 입을 수 없습니다. 따라서 가능합니다 . 아무도 당신이 그 일을하기를 원하지 않기 때문에 전문 IT 직원은 없습니다.
bjoster December
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.