Pergunta
Se estiver usando o Proxy DNS do Firewall do Azure com servidores DNS internos atrás desse mesmo firewall, o que acontece com as solicitações de registros DNS externos (ou seja, isso causa um loop infinito em que o servidor DNS solicita registros de um servidor DNS público, mas essa solicitação é capturada pelo FW e enviado de volta ao servidor DNS interno)?
Contexto
Temos um hub/vwan seguro no Azure, onde todo o tráfego entre redes passa pelo firewall, assim como todo o tráfego de entrada e saída da nossa rede.
Queremos ativar o proxy DNS no firewall para nos permitir usar FQDNs em nossas regras.
Também especificamos servidores DNS personalizados em nosso FW (o que parece aceitável por esta captura de tela do MS Docs . Na captura de tela, eles estão usando um IP interno e 168.63.129.16um IP especial da MS. Para o nosso, temos os IPs internos de nossos 2 controladores de domínio , e eles são configurados com encaminhamentos condicionais 168.63.129.16para os domínios nos quais temos terminais privados com zonas DNS privadas.
Minha preocupação é que, com o DNS Proxy habilitado, uma vez que o tráfego de nossos DCs para a Internet passa por esse firewall, ele interceptará suas consultas de DNS público e causará um loop infinito, resultando na falha de qualquer solicitação de informações de DNS externo (uma vez que qualquer solicitação anterior entradas em cache expiram)?
Da mesma forma, as solicitações para 168.63.129.16 (por meio do encaminhador condicional) também seriam vistas como indo para a Internet e, portanto, interceptadas?
A captura de tela nos documentos implica que podemos adicionar 168.63.129.16um servidor DNS no firewall... mas isso seria tratado como um round-robin com os outros servidores DNS (ou seja, solicitações para zonas internas às vezes falhariam, pois não sei 168.63.129.16de nossas zonas internas além das zonas DNS privadas do Azure, mas às vezes retornam uma resposta esperada ao atingir nossos servidores DNS internos) ou há alguma ordem de preferência onde só é 168.63.129.16contatado se nossos servidores DNS internos não tiverem um registro?
Se esse loop infinito for uma possibilidade, qual é a solução correta? Apenas roteamos o tráfego de saída de nossos DCs como próximo salto 0.0.0.0/0(que impacta todo o tráfego, não apenas a porta 53), ou existe uma solução melhor?
O proxy do firewall funciona com 2 configurações: 1) está habilitado no fw; 2) o cliente está configurado para utilizá-lo, ou seja, no cliente ele deve apontar para o endereço fw como seu servidor DNS.
Seus DCs (eles também são DNS ao mesmo tempo) têm seus próprios encaminhadores para nomes de domínio público/internet. Os DCs encaminham consultas externas diretamente para servidores DNS externos, o que significa que tais consultas não passam por FW.
Utilize o Azure Firewall como um proxy DNS para uma máquina virtual de DNS personalizada implantada na rede virtual do hub ou diretamente para o DNS padrão fornecido pelo Azure. Um proxy DNS é um intermediário para solicitações de DNS de máquinas virtuais clientes para um servidor DNS. Se você configurar um servidor DNS personalizado, ative o proxy DNS para evitar incompatibilidade de resolução de DNS e ative a filtragem de FQDN (nome de domínio totalmente qualificado) nas regras de rede. Esta funcionalidade é necessária para ter uma filtragem FQDN confiável nas regras de rede. Se você não ativar o proxy DNS, as solicitações DNS do cliente poderão viajar para um servidor DNS em um horário diferente ou retornar uma resposta diferente em comparação com a do firewall. O proxy DNS coloca o Azure Firewall no caminho dos pedidos do cliente para evitar inconsistências. Você pode habilitar o proxy DNS nas configurações do Firewall do Azure e da Política de Firewall. Para obter mais informações, consulte Proxy DNS do Firewall do Azure. Para saber mais sobre os registos de procuração DNS, consulte a documentação de registos e métricas do Firewall do Azure.
Então, ele apenas encaminha as consultas de DNS para o seu servidor DNS interno.