Назад | Перейти на главную страницу

Должен ли наш небольшой офис иметь внутренние DNS-серверы?

Я руковожу небольшим офисом (<50 человек). У нас в офисе всегда были внутренние DNS-серверы. DNS-серверы довольно просты, но в прошлом у нас были проблемы с ними. У нас есть некоторые офисные ресурсы, которые доступны только в офисе или извне через VPN, а также у нас есть офисные ресурсы с публичным адресом и записью. Эти ресурсы в настоящее время имеют одинаковое DNS-имя, хотя это не обязательно, и их гораздо меньше, чем было раньше.

Мы также уже владеем внутренним пространством имен офиса, поэтому вполне возможно, что я мог бы заполнить свой общедоступный DNS всеми частными IP-адресами внутренних ресурсов офиса, которые у нас есть, и просто полностью прекратить использование внутреннего DNS.

Это хорошая идея? Я никогда не работал там, где нет внутреннего DNS в офисе. По каким причинам мы все еще должны его сохранить? Когда-то это было критично, теперь все еще удобно, но проблемы, с которыми мы столкнулись, больше не делают его удобным.

Текущие причины сохранить:

Разделенный DNS позволяет нам использовать одно и то же имя хоста для тех ресурсов, которые размещены внутри, но также доступны извне.
У нас есть несколько тестовых доменов, которые нам не нужно покупать, но которые нам понадобятся, если мы избавимся от них.
??? это знакомо и утешительно?

Причины избавиться от него:

В настоящее время нет поддержки IPv6
Было несколько проблем с разделением DNS, в основном с конфигурацией VPN
Техническое обслуживание сервера, которое может быть ненужным

internal-dns

Читая ваши комментарии ...

Я бы на 100% сохранил DNS. Я бы также расширил вашу реализацию LDAP на AD. 50 человек определенно достаточно много; Я бы внедрил DNS для> 10 пользователей, если бы они были совсем нетехническими и имели несколько внутренних ресурсов, к которым им нужно было получить доступ.

По поводу минусов:

В настоящее время нет поддержки IPv6

Какую платформу вы используете? Есть несколько платформ с поддержкой IPv6, а именно OpenDNS.

Конфигурация VPN вызывает проблемы

Без обид, но, возможно, тебе стоит потренироваться Зачем конфиги VPN ломают DNS и что решают? Это лучше, чем обходной бандаж типа «Нет, внутренний DNS слишком сложен для работы с VPN!».

техническое обслуживание

Автоматизировать, автоматизировать, автоматизировать - это не должно быть слишком сложно, если вы применяете разумный подход к записям DNS и управлению системой в целом. DNS не нужно менять радикально (по крайней мере, не часто).

Держите внутренний DNS, если необходимо сделайте это избыточным.

SplitBrain DNS - это беспорядок, но обычно у вас (намного) больше внутренних записей, чем внешних. Кроме того, вы можете разделить свой трафик: внутренний использует внутренние IP-адреса, внешний - внешние.
AD на 100% полагается на DNS
Вы не зависите от DNS вашего интернет-провайдера, потому что ваш DNS может использовать рекурсию.
Вы не хотите, чтобы все могли искать ваши внутренние ресурсы
Вы не хотите предоставлять внутренние ресурсы своему (DNS-) интернет-провайдеру

Вам не нужен собственный DNS, когда все просто пользуются Интернетом, и вам не нужно управлять своими собственными серверами. Для меня VPN звучит как внутренние службы, например, как внутренние.

В настоящее время нет поддержки IPv6

Есть еще DNS-серверы без v6? Будьте в курсе здесь.

Было несколько проблем с разделением DNS, в основном с конфигурацией VPN

Проблемы с конфигурацией не исчезнут с удалением службы. Вам все равно придется правильно настроить vpn, теперь включая правила прорыва для внешнего DNS-трафика.

Техническое обслуживание сервера, которое может быть ненужным

DNS обычно небольшой и не требует отдельного ящика. Просто установите его на одном из своих надежный серверы (например, файловые или почтовые).