目前我们有以下设置.我们有两个域控制器,它们也可以作为DNS服务器,用作本地客户端的解析器.我们还有完全相同DNS区域的外部自动DNS服务器,仅用于外部服务.这导致必须在两个服务器组上输入两次相同记录的情况.
一个明显的解决方案是仅使用内部服务器并消除外部服务器组.我们使用NAT,所有内部服务器都有私有范围的地址,例如. 192.168.1.0
来自外部世界的请求被转发到需要的任何机器.
问题是如果内部DNS服务器开始提供外部请求,如何避免泄漏内部地址(将解析为192.168 …)?
我们有类似的设置,但出于安全原因,我故意将外部DNS保存在与内部DNS不同的服务器上.只要将外部DNS移动到与内部也是Active Directory相同的服务器,就必须为解析器打开一个漏洞,以便为服务于内部Active Directory的同一台计算机.如果DNS服务中存在缺陷(如过去一样),则攻击者可能会破坏您的内部Active Directory计算机.通过将内部和外部DNS保存在不同的计算机上,您无需通过防火墙向内部DNS / Active Directory框打开任何内容,从而使其更安全恕我直言.