В настоящее время у нас есть следующая установка. У нас есть два контроллера домена, которые также служат в качестве DNS-серверов, используемых в качестве преобразователей локальными клиентами. У нас также есть внешние авторитетные DNS-серверы для той же самой зоны DNS, только для обслуживания внешнего мира. Это приводит к ситуации, когда одну и ту же запись приходится вводить дважды в обеих группах серверов.
Одно очевидное решение - использовать только внутренние серверы и исключить группу внешних серверов. Мы используем NAT, и все внутренние серверы имеют адреса из частных диапазонов, например. 192.168.1.0 Запросы из внешнего мира перенаправляются на любую необходимую машину.
Вопрос в том, как избежать утечки внутренних адресов (которые разрешат 192.168 ...), если внутренние DNS-серверы начинают обслуживать внешние запросы?
У нас аналогичная настройка, но я намеренно сохранил внешний DNS на серверах, отличных от внутреннего, из соображений безопасности. Как только вы переместите внешний DNS на тот же сервер, что и ваш внутренний, который также является Active Directory, вы должны открыть отверстие для преобразователей на том же компьютере, который обслуживает вашу внутреннюю Active Directory. Если в службе DNS обнаруживается ошибка (как это было в прошлом), злоумышленник может потенциально скомпрометировать ваш внутренний компьютер Active Directory. Сохраняя внутренний и внешний DNS на отдельных машинах, вам не нужно открывать что-либо через брандмауэр во внутренний ящик DNS / Active Directory, что делает его намного безопаснее, IMHO.
Наличие дублированной зоны интрасети / Интернета называется «разделенным мозгом», и вы хорошо обрисовали плюсы и минусы. Теперь вы должны выбрать плюсы и минусы. Подсказка; жить с дублирующимися обновлениями для нескольких записей, которые должны быть в Интернете.
Ответ частично зависит от используемого брандмауэра, так как некоторые брандмауэры позаботятся о преобразовании DNS за вас. Хотите ли вы в такой степени полагаться на свой брандмауэр - большой вопрос (по крайней мере, в моем понимании). Мне также неясно, все ли / большинство межсетевых экранов предлагают такую возможность, что означает, что вы можете застрять с тем, что у вас есть, или, по крайней мере, с подмножеством поставщиков после удаления внешних DNS-серверов.
Возвращаясь к вашей текущей настройке (и необходимости делать что-то дважды), похоже, что это можно очень легко автоматизировать.
Наконец, если в зависимости от того, почему вы заинтересованы в устранении дополнительных серверов, вы можете рассмотреть возможность передачи внешней службы DNS на аутсорсинг.