Есть ли какие-либо недостатки в использовании общедоступной службы DNS, такой как Google 8.8.8.8/8.8.4.4, для службы DNS корпоративной сети, например, в превращении ее в DNS-сервер сетевого подключения для AD DC? Похоже, что если бы не было недостатков, все предпочли бы легко запоминающийся и Googlific сервис вместо мешанины конкретных ISP.
Большим недостатком является то, что многие корпорации используют зоны DNS, которые не видны публично.
Важным для этого являются домены AD DNS. Такие домены часто основаны на доменах верхнего уровня, которые не существуют (пока), таких как .company, домен DNS .local, и закрытые поддомены, такие как ad.us.example.com. Если у вас есть доменный компьютер, ему понадобится возможность разрешать эти домены для работы.
Компании также имеют тенденцию использовать системы раздельного DNS, в которых внутренние серверы имеют иное представление о example.com, чем общедоступные DNS-серверы. Некоторые компании могут иметь все 9 адресов, разрешаемых извне, в одном домене, но сотни адресов внутри, что делает возможным ручное редактирование нескольких доступных для внешнего просмотра ресурсов на серверах DNS, предназначенных только для внутреннего использования. peoplesoft-ha2.example.com
может разрешиться внутренне, но не внешне.
И, наконец, многие пользуются субдоменами, которые не публикуются в Интернете. Поддомены, такие как it.us.example.com, где общедоступный example.com не будет иметь никаких связанных записей для нас. домен, но он будет у внутренних DNS-серверов.
Лично мне нравится запускать собственные DNS-серверы. В основном это из-за причин, указанных системным администратором 1138 (мы используем DNS с разделенным горизонтом, с большим количеством внутренних зон), но также потому, что мне нравится знать, что я не подвержен никакому странному поведению, которое материализуется в Интернете (подумайте о своем домашний интернет-провайдер - держу пари, когда вы переходите на http: /www.this.domain.doesnt.exist.com/, они пытаются предоставить вам "полезную" страницу, что означает, что их DNS возвращает что-то, кроме NXDOMAIN
для несуществующих доменов).
Если у вас нет причин запускать собственный DNS-сервер, это действительно вопрос личных предпочтений:
Теоретически использование локального DNS сокращает время приема-передачи запросов и работает быстрее.
Практически разница может составлять 1-200 мсек, а иногда Google будет быстрее (например, если у них уже есть кешированная запись и им не нужно запрашивать цепочку).
Однако это все личное мнение - оно сводится к «Делайте то, что имеет смысл для вас и ваших клиентов».
Поскольку вы разъяснили, что имеете в виду использование общедоступного DNS в качестве серверов пересылки, и я предполагаю, что в настоящее время вы используете для этого своих интернет-провайдеров, я вижу только два недостатка.
Во-первых, как уже упоминалось, вы можете не получать записи NXDOMAIN должным образом для несуществующих доменов, а вместо этого будете напрямую обращаться к вспомогательным сайтам. Я не верю, что Google делает это, и я знаю, что OpenDNS делает это, но у него есть возможность отключить его, но стоит проверить, на кого вы смотрите.
Другая проблема заключается в том, что ваши поисковые запросы регистрируются или иным образом просматриваются извне, что зависит от бизнеса, чтобы определить, является ли это проблемой или нет.
Тем не менее, DNS-серверы интернет-провайдеров также могут иметь эти недостатки. Единственный способ обойти их - запустить свой собственный отдельный DNS-сервер (-ы), который будет поддерживать больше серверов, или просто оставить свои DNS-серверы AD без серверов пересылки и использовать корневые ссылки. Последний почти наверняка не сработает, поэтому, вероятно, это не лучший вариант.
Я подозреваю, что для вас это будет зависеть от скорости, и в этом случае вам следует запустить несколько тестов с кучей DNS-запросов по нескольким различным параметрам, которые вы изучаете, чтобы определить, что кажется самым быстрым из вашего местоположения.