Я слежу за множеством удаленных офисов, которые подключаются через VPN - Cisco ASA 5505 в каждом офисе действует как конечная точка межсетевого экрана и VPN.
Кроме того, мы стараемся максимально упростить работу в офисах, чтобы минимизировать нагрузку на поддержку. У нас нет никаких серверов, кроме офисов, достаточно больших, чтобы оправдать присутствие кого-то, посвященного ИТ. В основном есть ASA, несколько компьютеров, сетевой принтер и коммутатор.
Одна из проблем, с которыми я сталкиваюсь во многих офисах, заключается в том, что DNS-запросы на поиск хостов в нашей сети часто терпят неудачу - я предполагаю, что тайм-ауты из-за подключения к Интернету в офисах (все они находятся в странах развивающегося мира) имеют некоторые неоптимальные качества (например, высокая задержка из-за сегментов VSAT или потеря пакетов.
Очевидное решение этой проблемы - иметь своего рода локальную службу DNS, которая может обслуживать локальные запросы - поэтому я думаю, что ей потребуется выполнять передачу зон с наших DNS-серверов Microsoft Windows 2008 R2 в штаб-квартире. Однако простая установка серверов Windows в каждом офисе обходится дорого и создает дополнительную нагрузку. Это заставило меня задуматься о pfsense / m0n0wall на встроенных устройствах - они могут действовать как DNS-сервер и могут быть настроены в штаб-квартире и отправлены как что-то, что необходимо подключить к сети и о котором сотрудники могут забыть локально. . Возможно, существуют альтернативы ASA 5505, которые включают в себя некоторые функции DNS.
Кто-нибудь здесь занимался проблемой, используя какое-то встроенное устройство, или нашел какое-то другое решение? Есть ли ошибки или причины избегать того, что я предложил?
Две вещи:
Если подключение к Интернету ненадежно, что хорошего в наличии локального DNS-сервера, если все, что они могут сделать, это использовать его для разрешения DNS для внешних ресурсов (веб-сайтов). Если они не могут получить доступ к ресурсам штаб-квартиры из-за ненадежного подключения к Интернету, то я не вижу смысла в возможности просматривать Интернет, если только им это не нужно для работы.
Если эти удаленные компьютеры присоединены к домену AD, использование любых DNS-серверов, кроме DNS-серверов, поддерживающих этот домен AD, не является хорошей идеей и определенно противоречит передовой практике.