क्या हमारे छोटे कार्यालय में आंतरिक डीएनएस सर्वर होना चाहिए?


9

मैं एक छोटे से कार्यालय (<50 लोगों) का प्रशासन करता हूं। हमारे पास कार्यालय में हमेशा आंतरिक DNS सर्वर होते हैं। DNS सर्वर बहुत सीधे हैं, लेकिन हम अतीत में उनके साथ परेशानी में रहे हैं। हमारे पास कुछ कार्यालय संसाधन हैं जो केवल कार्यालय में उपलब्ध हैं, या बाहरी रूप से वीपीएन पर उपलब्ध हैं, और हमारे पास कुछ कार्यालय संसाधन भी हैं जिनके पास एक सार्वजनिक पता और रिकॉर्ड है। उन संसाधनों का वर्तमान में एक ही डीएनएस नाम है, हालांकि यह एक आवश्यकता नहीं है, और वहाँ उन लोगों की तुलना में बहुत कम हैं जो पहले हुआ करते थे।

हमारे पास पहले से ही आंतरिक कार्यालय नाम स्थान है, इसलिए यह अनुमान योग्य है कि मैं अपने सार्वजनिक DNS को हमारे आंतरिक कार्यालय संसाधनों के सभी निजी आईपी पते के साथ आबाद कर सकता हूं और बस आंतरिक DNS का उपयोग पूरी तरह से बंद कर सकता हूं।

यह एक अच्छा विचार है? मैंने कभी ऐसी जगह काम नहीं किया है जिसमें आंतरिक कार्यालय DNS नहीं है। ऐसे कुछ कारण हैं जिनके कारण हमें अभी भी इसे रखना चाहिए? यह एक बार महत्वपूर्ण था, अब भी सुविधाजनक है, लेकिन हम जिन समस्याओं में भाग ले रहे हैं वे इसे सुविधाजनक नहीं बना रहे हैं।

वर्तमान कारण रखने के लिए:

  • स्प्लिट DNS हमें उन संसाधनों के लिए समान होस्टनाम का उपयोग करने देता है जो आंतरिक रूप से होस्ट किए गए हैं, लेकिन बाहरी रूप से भी उपलब्ध हैं
  • हमारे पास कुछ परीक्षण डोमेन हैं जिन्हें हमें खरीदने की आवश्यकता नहीं है, लेकिन यदि हमें उनसे छुटकारा मिल गया है तो हमें इसकी आवश्यकता होगी
  • ??? यह परिचित और आरामदायक है?

इससे छुटकारा पाने के कारण:

  • वर्तमान में कोई IPv6 सपोर्ट नहीं
  • DNS के विभाजन के साथ कई समस्याएं थीं, ज्यादातर वीपीएन कॉन्फिगरेशन के साथ
  • एक सर्वर पर रखरखाव जो अनावश्यक हो सकता है

मुझे लगता है कि आपको अन्य बातों पर भी ध्यान देना होगा, जैसे आपके पास मौजूद सर्वरों की संख्या और इंटरनेट कनेक्शन की स्थिरता। यदि आप एक बाहरी DNS सर्वर पर भरोसा करते हैं, तो क्या होता है यदि आप लंबे समय तक अपनी इंटरनेट कनेक्टिविटी खो देते हैं? (जब कोई जानकारी अब तक कैश नहीं की जाती है) तो इसका मतलब है कि आपके सर्वर का कोई भी एक साथ संचार नहीं कर पाएगा, और इसलिए सभी सेवाएं डाउन हो जाएंगी। कम से कम कैशिंग के लिए स्थानीय DNS सर्वर रखना और स्थानीय रिज़ॉल्यूशन करना एक बोनस है।
ओलिविएरग

1
कम से कम विंडोज नेटवर्क पर आंतरिक डीएनएस सर्वर होने का प्राथमिक कारण, सक्रिय निर्देशिका और एक विंडोज डोमेन का समर्थन करने के लिए है। यदि आप एक डोमेन चला रहे हैं तो आप अपने AD एकीकृत DNS से ​​छुटकारा नहीं पा सकते हैं। या, कम से कम, आप वैसे भी नहीं होना चाहिए।
Appleoddity

हमारे पास एक आंतरिक LDAP सर्वर है, AD नहीं। DNS उस में एकीकृत नहीं है, हालांकि मुझे आश्चर्य है कि क्या इसकी कोई अन्य निर्भरता है।
आरोन आर।

इसमें कुछ डीएनएस आवश्यकताएं होनी चाहिए, यदि कई एलडीएपी सर्वर हैं, तो एडी SRVसेवा खोज के लिए रिकॉर्ड का उपयोग करता है , इसलिए डीआर 389 करता है।
जैकब इवांस

दिलचस्प, जानना अच्छा है। हालांकि मुझे यकीन नहीं है कि इसे किसी भी मामले में आंतरिक होने की आवश्यकता होगी; मुझे लगता है कि हम इसके लिए सार्वजनिक DNS का उपयोग कर सकते हैं।
हारून आर।

जवाबों:


5

आपकी टिप्पणियों से पढ़ना ...

मैं 100% DNS रखूंगा। मैं आपके LDAP कार्यान्वयन को AD तक विस्तारित करूंगा। 50 लोग निश्चित रूप से काफी बड़े हैं; मैं DNS को> 10 उपयोगकर्ताओं के लिए कार्यान्वित करूंगा यदि वे सभी गैर-तकनीकी हैं और उनके पास उपयोग करने के लिए आवश्यक कई आंतरिक संसाधन हैं।

विपक्ष के बारे में:

  • वर्तमान में कोई IPv6 सपोर्ट नहीं

आप किस प्लेटफॉर्म का उपयोग करते हैं? IPv6 सपोर्ट वाले कई प्लेटफॉर्म हैं - जैसे OpenDNS

  • वीपीएन कॉन्फ़िगरेशन के कारण समस्याएँ

कोई अपराध का इरादा नहीं है, लेकिन शायद आपको यह पता लगाना चाहिए कि वीपीएन कॉन्फ़िगर DNS को क्यों तोड़ रहा है और इसे हल करता है? यह "नोप, आंतरिक DNS के वीपीएन के साथ काम करने के लिए बहुत जटिल है!"

  • रखरखाव

स्वचालित, स्वचालित, स्वचालित - जब तक आप DNS प्रविष्टियों और एक पूरे के रूप में सिस्टम प्रबंधन के लिए एक स्मार्ट दृष्टिकोण नहीं लेते तब तक यह बहुत मुश्किल नहीं होना चाहिए। DNS को मौलिक रूप से नहीं बदला जाना चाहिए (कम से कम अक्सर नहीं)।


1
केवल लगभग एक तिहाई कार्यालय विंडोज का उपयोग करते हैं, इसलिए मैं वास्तव में एक डोमेन नियंत्रक को लागू करने के लिए अधिक बुनियादी ढांचे को जोड़ने में दिलचस्पी नहीं रखता हूं। मैं अभी बिंद का उपयोग कर रहा हूं, जो निश्चित रूप से आईपीवी 6 का समर्थन करता है, लेकिन यह सक्षम नहीं हुआ है और इसके लिए मेरी ओर से समय और प्रयास लगेगा; यह वास्तव में मुख्य जोर है; क्या मैं अपने आप को इस संसाधन को हटाने के लिए किसी भी जोखिम में डाल रहा हूं और केवल पब्लिक डीएनएस का उपयोग कर रहा हूं, क्या मैं भविष्य में ऑफिस के कुछ फीचर की वजह से खुद को और अधिक काम के लिए स्थापित कर रहा हूं, जिन्हें DNS आदि की आवश्यकता है
हारून आर।

क्षमा करें - यह माना जाता है कि हर कोई एक विंडोज़ डिवाइस पर था (हालांकि एडी लिनक्स के साथ ठीक काम करता है और मुझे लगता है कि ओएस एक्स के लिए भी कुछ परिपक्व विकल्प हैं)। वे डिजाइन निर्णय हैं जिन पर आपको विचार करना है और कार्य करना है। अगर आपको लगता है कि विकास और भविष्य के चश्मे। आंतरिक संसाधनों के लिए आंतरिक DNS के साथ नियंत्रित डोमेन की अधिक आवश्यकता हो सकती है - फिर इसे आसपास रखें, या बहुत कम से कम इसे बूट करने के लिए तैयार रहें यदि आपको लगता है कि आपको इसकी आवश्यकता हो सकती है। अन्यथा, आप अपनी खुद की नाव के कप्तान हैं - आप जानते हैं? इस तरह की चीज हमेशा प्रयास बनाम प्रत्याशित इनाम (ओं) के बीच एक व्यापार है। सौभाग्य! :)
किलकेनबेक

4

आंतरिक डीएनएस रखें, यदि आवश्यक हो तो इसे अनावश्यक बनाएं।

  • स्प्लिटब्रेन डीएनएस एक गड़बड़ है, लेकिन आमतौर पर आपके पास बाहरी की तुलना में बहुत अधिक आंतरिक रिकॉर्ड होते हैं। इसके अलावा आप अपने ट्रैफ़िक को विभाजित कर सकते हैं: आंतरिक आंतरिक आईपी का उपयोग करता है, बाहरी रूप से बाहरी लोगों का उपयोग करता है।
  • AD, DNS पर 100% निर्भर करता है
  • आप अपने आईएसपी डीएनएस पर निर्भर नहीं हैं, क्योंकि आपका डीएनएस पुनरावृत्ति का उपयोग करने में सक्षम होगा।
  • आप नहीं चाहते कि हर कोई आपके आंतरिक स्रोत को देख सके
  • आप अपने (DNS-) आईएसपी को आपको आंतरिक स्रोत प्रदान नहीं करना चाहते हैं

जब आपको हर कोई सिर्फ इंटरनेट का उपयोग कर रहा है और आपको अपने स्वयं के सर्वर का प्रबंधन करने की आवश्यकता नहीं है, तो आपको स्वयं डीएनएस की आवश्यकता नहीं है। वीपीएन मुझे आंतरिक सेवाओं की तरह लगता है, jst उन्हें आंतरिक रूप से बंद करें।

  • वर्तमान में कोई IPv6 सपोर्ट नहीं

अभी भी बिना डी 6 के डीएनएस-सर्वर हैं? यहाँ तारीख तक जाओ।

  • DNS के विभाजन के साथ कई समस्याएं थीं, ज्यादातर वीपीएन कॉन्फिगरेशन के साथ

कॉन्फ़िगरेशन समस्याएं दूर होने वाली सेवा के साथ नहीं जाएंगी। बाहरी DNS ट्रैफ़िक के लिए ब्रेकआउट नियम सहित अब भी आपको सही तरीके से वीपीएन सेटअप करना होगा।

  • एक सर्वर पर रखरखाव जो अनावश्यक हो सकता है

DNS आमतौर पर छोटा होता है और इसके लिए खुद के बॉक्स की जरूरत नहीं होती है। बस अपने एक विश्वसनीय सर्वर (जैसे फ़ाइल या मेल) पर एक सेट करें ।


1
आप मेरे पास मौजूद वास्तविक प्रश्नों में से एक को बाहर लाते हैं, शायद एक ऐसा जो एक नए प्रश्न के रूप में बेहतर होगा, लेकिन क्या आप इसका मतलब अधिक समझा सकते हैं जब आप कहते हैं कि "आप नहीं चाहते कि हर कोई आपके आंतरिक संसाधनों को देखने में सक्षम हो। " सार्वजनिक DNS में निजी आईपी पते जोड़ना असामान्य है, लेकिन क्या वास्तव में इसके साथ कुछ गलत है? अगर हैकर्स मेरी कंपनी के निजी आईपी पते देख सकते हैं तो मैं क्यों ध्यान रखूंगा? वे अभी भी निष्क्रिय नहीं हैं।
आरोन आर।

3
आप अपनी सुरक्षा के भंग होने की स्थिति में अपने आंतरिक नेटवर्क के बारे में हैकर को कोई सुराग नहीं देना चाहते हैं। अपने आंतरिक DNS को लीक करने से आंतरिक नेटवर्क संरचना, संभावित रसदार लक्ष्यों ("अहा!" के बारे में सुराग मिलता है! "HRserver 192.168.99.72 पर है! धन्यवाद! मैं उसके लिए सीधे जा सकता हूं"), आदि
ब्रेंडन जेवियर

1
हालांकि यह वास्तव में एक चिंता का विषय है? मुझे पता है कि पेशेवर समुदाय में एक सामान्य भावना है कि जानकारी के हर संभव टुकड़े की रक्षा करना बेहतर है, लेकिन मुझे यकीन नहीं है कि यह कितना महत्वपूर्ण है। हमारे सभी गैर-सार्वजनिक DNS को क्वेर किया जा सकता है और उन्हें 10 मिनट में वह डेटा मिल जाएगा। तो हो सकता है कि हम हैकिंग के समय में 10 मिनट की बचत कर रहे हों? यह मेरे लिए बहुत मूल्यवान नहीं लगता है।
एरोन आर।

आपके गैर-सार्वजनिक DNS को प्रश्नों के लिए खुला नहीं होना चाहिए .... इसलिए "गैर-सार्वजनिक" ...
kilagnebc

2
तकनीकी रूप से आप अपने निजीकरण को सार्वजनिक रूप से रख सकते हैं , लेकिन तकनीकी रूप से आप सार्वजनिक रूप से (या सिर्फ इस कार्यस्थल पर) कोई पैंट नहीं पहन सकते। इसलिए यह संभव है , कोई भी आपको कभी ऐसा नहीं करना चाहता और इसलिए कोई पेशेवर आईटी व्यक्ति नहीं होगा।
bjoster
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.