Windows サーバーと Sonicwall の DNS に関する混乱

サーバーはActive Directory/DNSを実行しているため、クライアントはしなければならない適切なドメイン解決と内部リソースへの接続のために、DNS をサーバーに設定します。

重要なのは、サーバーの DNS サービスを設定して、すべての非ローカル クエリを外部リゾルバー (Google [8.8.8.8; 8.8.4.4] など) に転送することです。DNS トラフィックは非常に小さいため、キャッシュの設定が低すぎる場合を除き、サーバーに目立った影響を与えることはありません。

サーバーのネットワーク スタックは、DNS 解決のために 127.0.0.1 (またはそのローカル アドレス) を参照するように構成し、サービスはフォワーダーで構成する必要があります。

Sonicwall に関しては、どちらの方法でも設定できます。Sonicwall で内部と外部の両方の FQDN を解決できるようにするには、解決にローカル サーバーを使用する必要があります。外部のみが必要な場合は、ISP のリゾルバーまたは Google のリゾルバーに設定します。

JuxVPがすでに述べたように、ドメインに参加しているWindowsクライアントはしなければならないDNS を AD サーバーに設定する必要があります。そうしないと、多くのサービス (特に認証) が失敗します。他のすべての内部クライアントで内部名を解決したい場合は、DNS を AD サーバーに設定する必要があります。

さらに、ドメインに参加しているWindowsクライアントしてはならないWindows が検索順序を保証しないため、AD クエリを解決できない他の DNS サーバーがリストされています。例: クライアントに次の構成がある場合:

DNS1: 192.168.10.10 (AD server)
DNS2: 8.8.8.8 (Google DNS)

そうすると、認証の問題、異常なハング、その他の通信の問題が発生する可能性があります。これは、クライアントが Google の DNS にクエリを実行しadserver.domain.local、Google のサーバーがタイムアウトではなく応答する可能性がdoes not existあるためです。クライアントは、最初のサーバーが応答しない場合にのみ、他のサーバーを試します。クライアントがdoes not exist応答を受信すると、あきらめて検索は失敗します。

• Sonicwall の DNS サーバーは、ISP の DNS IP アドレスに合わせて設定する必要があります。
• サーバー（ドメイン DNS サーバーなど）は、Google の DNS へのフォワーダーを使用して構成できます。
• エンドポイントの DNS はドメインの DNS サーバーに合わせて設定する必要があります。

教育分野で働いているのであれば、すべてのリクエストを OpenDNS に転送するように社内 DNS サーバーを構成することをお勧めします。OpenDNS は、CIPA コンプライアンス [0] に準拠するために、K-12 専用の特別プランを提供しています。また、悪意のあるリソースへのリクエストをブロックするマルウェア対策も提供しています。

上記の設定が完了したら、ネットワーク上のすべてのホスト/デバイスなどを内部 DNS サーバーを使用するように設定します。これにより、クライアントが内部的に相互接続できるようになります。これは、Microsoft Active Directory を実行する場合に特に重要です。

次に、すべてのルーター ACL とファイアウォール ルールを設定して、内部 DNS サーバーから OpenDNS サーバーへのアウトバウンド DNS クエリのみを許可します。この設定の利点は、一部のマルウェアがパブリック ネームサーバーに直接 DNS クエリを実行しようとすることです。この設定により、リクエストがサーバーを経由して最終的に OpenDNS に送られ、そこでキャッチされるようになります。内部 DNS サーバーを使用していないことがわかったホスト (ファイアウォール ドロップ ログ) は、不正な設定やマルウェアがないか調査する必要があります。これは、侵害の兆候である可能性があります。

最後に、ルーター ACL やファイアウォール ルールを実装して、パブリック インターネットからの DNS サーバーへのアクセスをブロックします。

[0]https://www.opendns.com/enterprise-security/solutions/k-12/