Я запускаю Sonicwall TZ205, и у меня есть разные настройки сегментов LAN с использованием портов. Затем я запускаю несколько серверов VMware, подключенных к этим портам, и несколько гостевых виртуальных машин, подключенных к каждому vSwitch. У меня есть правила межсетевого экрана между подсетями, которые разрешают некоторый трафик, в основном DNS.
Все мои веб-серверы указывают на мой DNS-сервер Windows AD. Причина, по которой я сделал это изначально, заключалась в том, чтобы позволить моему почтовому серверу связываться с моей виртуальной машиной ... поэтому, когда веб-сайт, который я размещаю, отправляет мне электронное письмо, оно не выходит и не возвращается, а просто проходит напрямую.
Я устранял проблемы с DNS на одном из моих серверов, и, запустив WireShark, я вижу много DNS, поступающих с моих веб-серверов. Проблема, которую я вижу, на самом деле связана с агентом мониторинга от PRTG, который показывает, что мой DNS не может разрешать запросы каждые несколько секунд. Все остальные мои тесты показывают, что DNS работает правильно, насколько я могу судить.
Я думал об изменении DNS-серверов на своих веб-серверах, чтобы они указывали только на Интернет. Я бы настроил закрепление, чтобы серверы могли отправлять мне электронную почту, выходя и возвращаясь.
Есть ли в этом какие-то преимущества? Я делаю это более сложным, чем нужно? Внутренний DNS лучше? У меня есть 2 DNS-сервера в моей основной локальной сети, и это все, что они делают.
Заранее спасибо!
TL; DR; Должны ли мои веб-серверы с частным адресом NAT использовать общедоступный DNS или внутренний DNS?
Это зависит от количества и распределения DNS-запросов, генерируемых вашими веб-серверами. Если вы запрашиваете одни и те же записи довольно часто, вы можете подумать о настройке локального кэширующего DNS-сервера (привязки), чтобы лучше контролировать разрешение DNS (возможно, условную пересылку). Имея много запросов на одни и те же адреса снова и снова, ваше приложение может выиграть от локальности и сокращения времени отклика кеша DNS.
Я не могу представить, что вы перегружаете свои внутренние DNS-серверы - это потребует действительно большой рабочей нагрузки (я имею в виду несколько сотен / тысяч запросов в секунду). Выгрузка этого в общедоступные службы DNS просто увеличит задержку, количество подключений на вашем брандмауэре и, вероятно, не принесет никакой пользы.