Сегодня вечером я немного читал о том, как лучше всего настроить нашу школьную сеть для подключения к Интернету. Он работает как есть, но время от времени возникают сбои в доступе клиент / сервер к Интернету. (примечание: Sonicwall всегда видит Интернет)
Моя настройка как есть:
Интернет --- Sonicwall --- Управляемый коммутатор --- Сервер Win 2k8 r2 | Клиенты и принтеры
Соникволл
Windows Server (просто внутренний файловый сервер)
Клиенты
Итак, к вопросам:
Из того, что я прочитал сегодня вечером, кажется, что мне следовало:
Кто-нибудь может это проверить? Я смущен. Если Sonicwall обращается к серверу в поисках DNS в Интернете, не будут ли мои клиенты A) отключать сервер и B) не иметь Интернета, когда сервер выключен?
Если это не лучшая практика, тогда что? Я уже делаю это правильно? Следует ли клиентскому DNS обращаться к серверу И интернет-провайдеру?
Спасибо! Крис
Поскольку на сервере работает Active Directory / DNS, клиенты ДОЛЖЕН их DNS установлен на сервере для правильного разрешения домена / подключения к внутренним ресурсам.
Ключ в том, чтобы настроить службу DNS сервера на пересылку всех нелокальных запросов на внешний преобразователь (например, Google [8.8.8.8; 8.8.4.4]). Трафик DNS настолько мал, что не должен оказывать заметного влияния на ваш сервер, если у вас не установлен слишком низкий кеш.
Сетевой стек сервера должен быть настроен на поиск 127.0.0.1 (или его локальный адрес) для разрешения DNS, а служба настроена с пересылками.
Что касается Sonicwall, вы можете установить его в любом случае. Если вы хотите, чтобы Sonicwall мог разрешать как внутренние, так и внешние полные доменные имена, тогда для разрешения потребуется ваш локальный сервер. Если вам нужен только внешний, установите его на преобразователи вашего интернет-провайдера или Google.
Как уже заявлял JuxVP, любые клиенты Windows, присоединенные к домену должен их DNS настроен на сервер AD, иначе многие службы не работают, особенно аутентификация. Для всех остальных внутренних клиентов DNS должен быть настроен на сервер AD, если вы хотите, чтобы они разрешали внутренние имена.
Кроме того, подключенные к домену клиенты Windows не должен есть ли какие-либо другие DNS-серверы в списке, которые не могут разрешать запросы AD, b / c Windows не гарантирует порядок поиска. Пример: если у вас есть следующая конфигурация на клиенте:
DNS1: 192.168.10.10 (AD server)
DNS2: 8.8.8.8 (Google DNS)
тогда у вас, скорее всего, возникнут проблемы с аутентификацией, необычное зависание или другие проблемы со связью. Это b / c клиент может запросить DNS Google для adserver.domain.local
и сервер Google ответит does not exist
вместо тайм-аута. Клиент будет пробовать другой сервер только в том случае, если первый не отвечает. Если клиент получает does not exist
ответ, он откажется и поиск не удастся.
Поскольку вы работаете в сфере образования, я рекомендую настроить ваш внутренний DNS-сервер для пересылки всех запросов в OpenDNS. Они предлагают специальные планы только для K-12, чтобы соответствовать требованиям CIPA [0]. Они также предлагают защиту от вредоносных программ, при которой запросы на зловредные ресурсы будут заблокированы.
После настройки выше установите каждый хост / устройство / и т. Д. в вашей сети, чтобы использовать внутренний DNS-сервер. Это обеспечит успешное внутреннее соединение ваших клиентов друг с другом, что особенно важно при использовании Microsoft Active Directory.
Затем настройте все ACL маршрутизатора и правила брандмауэра, чтобы разрешать только исходящие DNS-запросы от вашего внутреннего DNS-сервера к серверам OpenDNS. Преимущество этого заключается в том, что некоторые вредоносные программы будут пытаться выполнять DNS-запросы напрямую к общедоступным серверам имен. Эта конфигурация гарантирует, что запрос будет проходить через ваши серверы и, в конечном итоге, через OpenDNS, где, мы надеемся, он будет перехвачен. Любой обнаруженный хост, не использующий внутренний DNS-сервер (журналы отказов брандмауэра), должен быть исследован на предмет неправильной конфигурации или вредоносного ПО, поскольку это может быть индикатором взлома.
Наконец, внедрите ACL маршрутизатора и / или правила брандмауэра, чтобы заблокировать доступ к вашему DNS-серверу из общедоступного Интернета.
[0] https://www.opendns.com/enterprise-security/solutions/k-12/