У меня 70-80 машин типа киоска без DNS. Мы делаем это, чтобы пользователи этих машин не могли получить доступ к интернет-ресурсам, не указанным в файле hosts. Конечно, они могут получить доступ к вещам по IP-адресу, но это не проблема.
Мы скоро перейдем к AD, и я не знаю, как обращаться с этими машинами. Несколько мыслей:
Настройте DNS-сервер BIND9 только для них, и пусть он будет выдавать правильные записи, чтобы клиенты могли найти контроллеры домена. Не уверен, что это будет проблематично.
Отключите рекурсию и пересылку на DNS-сервере. Попросите клиентов, которым необходимо разрешить интернет-адреса, использовать два DNS-сервера. Один AD и дополнительный, который является кэширующим DNS-сервером, не выполняющим AD. (не уверен, что это сработает, и кажется, что иметь DNS без AD - плохая идея).
Получите один DNS-сервер в домене, чтобы он работал только локально, а другой - для Интернета. Я не понимаю, как это возможно. Я могу отключить рекурсию для домена, но не для отдельных серверов.
Я склоняюсь к решению 1, так как думаю, что это единственное, что сработает. Я не планирую делать DDNS, просто вставляю правильные записи SRV. Я предполагаю, что это сработает. Есть другие идеи?
Пожалуйста, не используйте BIND в клиентской среде Windows - это головная боль, вы сломаете что-то и будете тратить много времени на выполнение действий, которые обычно выполняются автоматически из-за динамического DNS AD. Решение этой проблемы с помощью DNS заключается в том, чтобы повесить картину кувалдой.
Ознакомьтесь с бесплатным Windows SteadyState инструмент. SteadyState - это бесплатный инструмент, разработанный для тех, кто использует общие компьютеры для библиотек, школ и киосков. Вы можете установить всевозможные политики, включая ограничение доступа в Интернет и добавление определенных веб-сайтов в белый список.
AD требует DNS (альтернативного варианта нет) и лучше всего будет работать с DNS, интегрированным в AD (например, динамический DNS MS). Вам нужно расслабиться и пересмотреть, как вы хотите блокировать сайты, которые не одобрены для ваших киосков.
Мне кажется, что наиболее очевидным решением будет просто не добавлять киоск-машины в вашу AD и продолжать как есть. Похоже, у вас нет проблем с этим, и вы, по крайней мере, в разумной степени в курсе, и я не вижу необходимости добавлять их, так почему бы и нет?
По умолчанию Active Directory может делать то, что вам нужно. Настройте киоск-серверы на получение DNS-адресов от контроллера домена. В контроллере домена у вас должен быть файл. domain, поэтому он будет отправлять только записи DNS домена и не пересылать ничего больше. Либо оставьте свои конкретные адреса в файлах хоста на каждом киоске, либо добавьте их как записи на DC, чтобы облегчить вам жизнь с обновлением. Направьте свои машины, которым требуется полный доступ к DNS, на 2-й DC, который реплицирует записи DNS домена, но не другие записи.
Вариант 1 - жизнеспособный подход. Члены домена XP будут нормально работать с Bind при условии, что вы заполните все правильные записи SRV. Предполагая, что вы собираетесь использовать собственный интегрированный DNS AD для остальной части вашего домена, это не должно быть так сложно управлять, однако вы также можете сделать это с помощью неинтегрированного MS DNS (не установленного на DC), а не Bind, но вы будете необходимо отключить корневые подсказки [ согласно этому ].
Вариант 2 не работает. Вторичные DNS-серверы на клиенте XP будут использоваться только в том случае, если нет ответа от первого DNS, если первый отвечает отказом, который все еще считается ответом.
Вариант 3 рассматривается в моем ответе на 1.
Как общий комментарий, использование DNS, отличного от MS, жизнеспособно в домене, но это почти всегда намного больше работы, чем стоит (IMO).
Вот идея (как ни странно она может звучать), и вам придется проверить ее, чтобы убедиться, что она работает:
Я предполагаю, что вы разрешаете им переходить на некоторые веб-сайты на основании того факта, что вы добавляете записи в файл hosts. Исходя из этого предположения, моя идея выглядит так:
Настройте интегрированный DNS AD на вашем DC.
Отключите рекурсию на DC \ DNS сервере.
Настройте серверы условной пересылки на DC \ DNS-сервере для доменов, к которым вы разрешаете пользователям переходить. Например, Google настроил условную пересылку для google.com, чтобы использовать ns1.google.com, ns2.google.com и т. Д.
Это позволит пользователям получать доступ к доменам, которые вы «авторизуете» (путем добавления серверов условной пересылки), и заблокирует все другие внешние домены. Вы можете найти, какие серверы пересылки использовать для каждого «авторизованного» домена, запустив NS nslookup для каждого домена.
Это кажется самым простым решением для реализации. Ваш внутренний DNS несложен, он позволяет вам использовать только одну инфраструктуру DC \ DNS вместо попыток управлять несколькими DNS-серверами (внутренними серверами разрешения и внешними серверами разрешения) и упрощает конфигурацию клиента, позволяя настраивать каждого клиента с помощью те же настройки DNS.
Вы можете реализовать прокси-сервер, блокируя их до определенного белого списка и разрешая другим машинам неограниченный доступ, я использую его сам, ускоряет сеть для всех, освобождает маршрутизатор от обработки такого большого количества подключений и в целом улучшает вашу административную жизнь.
Ведение журнала тоже помогает ... знать, чем занимаются ваши пользователи, анализировать тенденции использования / потерь, выяснять, был ли кто-либо из них заражен трояном, открывающим доступ в Интернет ... тогда вы разрешаете прокси только через маршрутизатор, отрицая все остальные IP-адреса (при условии, что пользователи киоска не могут изменить IP-адрес). Сэкономьте на пропускной способности!
Таким образом, не нужно беспокоиться о вашей инфраструктуре DNS, проще в обслуживании и документировании!
Если вы хотите по-настоящему напугать, squid позволяет запускать одновременные копии, поэтому вы можете запускать один прокси целиком только для киосков, а другой - для своих клиентов (с разными уровнями выполнения и распределением полосы пропускания и т. Д.), Настраивайте их через DHCP-сервер. и весь беспорядок сортируется автоматически!