web-dev-qa-db-fra.com

Notre petit bureau devrait-il avoir des serveurs DNS internes?

J'administre un petit bureau (<50 personnes). Nous avons toujours eu des serveurs DNS internes au bureau. Les serveurs DNS sont assez simples, mais nous avons eu des problèmes avec eux dans le passé. Nous avons des ressources de bureau qui sont uniquement disponibles au bureau ou en externe via VPN, et nous avons également des ressources de bureau avec une adresse et un enregistrement publics. Ces ressources ont actuellement le même nom DNS, bien que ce ne soit pas nécessairement une exigence, et il y en a beaucoup moins qu'auparavant.

Nous possédons également déjà l'espace de noms du bureau interne, il est donc concevable que je puisse remplir mon DNS public avec toutes les adresses IP privées des ressources du bureau interne que nous avons et simplement cesser complètement d'utiliser le DNS interne.

Est-ce une bonne idée? Je n'ai jamais travaillé dans un endroit qui n'a pas de DNS interne au bureau. Quelles sont les raisons pour lesquelles nous devrions toujours le conserver? C'était autrefois critique, maintenant c'est toujours pratique, mais les problèmes que nous avons rencontrés ne le rendent plus pratique.

Raisons actuelles de conserver:

  • Le DNS fractionné nous permet d'utiliser le même nom d'hôte pour les ressources qui sont hébergées en interne mais également disponibles en externe
  • Nous avons quelques domaines de test que nous n'avons pas eu besoin d'acheter mais dont nous aurions besoin si nous nous en débarrassions
  • ??? c'est familier et réconfortant?

Raisons de s'en débarrasser:

  • Pas de support IPv6 actuellement
  • J'ai eu plusieurs problèmes avec la séparation du DNS, principalement avec la configuration VPN
  • Maintenance sur un serveur qui pourrait être inutile
9
Aaron R.

Lecture de vos commentaires ...

Je garderais à 100% DNS. Je voudrais également étendre votre implémentation LDAP à AD. 50 personnes est certainement assez grand; J'implémenterais le DNS pour> 10 utilisateurs s'ils ne sont pas du tout techniques et ont plusieurs ressources internes dont ils ont besoin pour accéder.

Concernant les inconvénients:

  • Pas de support IPv6 actuellement

Quelle plateforme utilisez-vous? Il existe plusieurs plates-formes avec prise en charge IPv6 - à savoir OpenDNS

  • La configuration VPN cause des problèmes

Aucune infraction prévue, mais peut-être devriez-vous déterminer pourquoi les configurations VPN cassent le DNS et résolvent cela? C'est mieux que la solution de contournement de "Non, le DNS interne est trop compliqué pour fonctionner avec le VPN!".

  • la maintenance

Automatisez, automatisez, automatisez - cela ne devrait pas être trop difficile tant que vous adoptez une approche intelligente des entrées DNS et de la gestion du système dans son ensemble. Le DNS ne devrait pas avoir à être radicalement changé (du moins pas souvent).

5
kilrainebc

Gardez le DNS interne, si nécessaire rendez-le redondant.

  • Le DNS SplitBrain est un gâchis, mais généralement vous avez (beaucoup) plus d'enregistrements internes qu'externes. De plus, vous pouvez diviser votre trafic: interne utilise des IP internes, externe utilise des IP externes.
  • AD s'appuie à 100% sur DNS
  • Vous n'êtes pas dépendant du DNS de votre FAI, car votre DNS pourrait utiliser la récursivité.
  • Vous ne voulez pas que tout le monde puisse rechercher votre ressource interne
  • Vous ne voulez pas fournir de ressources internes à votre (DNS-) FAI

Vous n'avez pas besoin de posséder votre DNS, lorsque tout le monde utilise Internet et que vous n'avez pas à gérer vos propres serveurs. Le VPN me semble être un service interne, je le garde en interne.

  • Pas de support IPv6 actuellement

Il existe encore des serveurs DNS sans v6? Tenez-vous au courant ici.

  • J'ai eu plusieurs problèmes avec la séparation du DNS, principalement avec la configuration VPN

Les problèmes de configuration ne disparaîtront pas avec un service qui disparaîtra. Vous devrez toujours configurer correctement votre VPN, y compris maintenant les règles de répartition pour le trafic DNS externe.

  • Maintenance sur un serveur qui pourrait être inutile

Le DNS est généralement petit et n'a pas besoin d'une propre boîte. Installez-en un sur l'un de vos serveurs fiables (comme un fichier ou un courrier).

4
bjoster