目前我们有以下设置。我们有两个域控制器,它们也用作 DNS 服务器,被本地客户端用作解析器。我们还为完全相同的 DNS 区域提供外部自动 DNS 服务器,仅用于为外部世界提供服务。这会导致必须在两个服务器组上输入两次相同的记录。
一种明显的解决方案是仅使用内部服务器并消除外部服务器组。我们使用 NAT,所有内部服务器都有来自私有范围的地址,例如。192.168.1.0 来自外部世界的请求被转发到任何需要的机器。
问题是如果内部 DNS 服务器开始服务外部请求,如何避免泄漏内部地址(将解析为 192.168...)?
我们有类似的设置,但出于安全原因,我特意将外部 DNS 保存在与内部 DNS 不同的服务器上。一旦您将外部 DNS 移动到与您的内部服务器(也是 Active Directory)相同的服务器上,您就必须为解析器打开一个漏洞,以便将解析器连接到为您的内部 Active Directory 提供服务的同一台机器上。如果 DNS 服务中出现缺陷(就像过去一样),那么攻击者可能会破坏您的内部 Active Directory 计算机。通过将内部和外部 DNS 保存在不同的机器上,您不必通过防火墙向内部 DNS/Active Directory 框打开任何内容,从而使其更加安全恕我直言。
将区域复制到 Intranet/Internet 称为“脑裂”,您已经很好地概述了优缺点。现在你必须选择优点和缺点。暗示; 对必须在 Internet 上的少数记录进行重复更新。
答案部分取决于您使用的防火墙,因为某些防火墙会为您处理 DNS 转换。你是否想在这个程度上依赖你的防火墙是一个大问题(至少在我看来)。我还不清楚是否所有/大多数防火墙都提供这种功能,这意味着一旦您删除了外部 DNS 服务器,您可能会发现自己被现有的东西所困扰,或者至少是一部分供应商。
回到您当前的设置(以及两次做事的麻烦),这听起来很容易实现自动化。
最后,如果取决于您对消除额外服务器感兴趣的原因,您可能需要考虑外包外部 DNS 服务。