%20%E3%81%AF%E5%8F%AF%E8%83%BD%E3%81%A7%E3%81%99%E3%81%8B%3F.png)
私は現在、DMZ 上でインターネットに公開されている 2 つの DNS サーバー (ns1 と ns2) を持つ会社で働いており、company.org と company.net の 2 つのゾーンをホストしています。両方のゾーンで、DMZ と内部 LAN にサーバーがあり、DNS サーバーで再帰が有効になっています。
私は、DMZ 上のすべてのサーバーを再構成して、FQDN を server.company.org にし、内部 LAN 上のすべてのサーバーを server.company.net にすることを考えていました。そして、DMZ 上に company.org ゾーンのみを持つ DNS サーバーを配置し、内部 LAN 上に company.net ゾーンのみをホストする別の DNS サーバーを配置します。
これは賢明な方法でしょうか、それとももっと良い解決策があるのでしょうか? これを使用する場合、どの DNS サーバーの再帰を有効または無効にする必要がありますか? 転送はどうですか?
どうもありがとう。
答え1
目標が明確に述べられていないため、具体的な推奨事項を提供するのは困難です。
ただし、管理とセキュリティを容易にするために、公開サービス用に 1 つのドメインを使用し、内部サービス用に別のドメインを使用することは、技術的には必須ではありませんが有益です。
たとえば、すべての公開サービスを 1 つのドメインに配置することができます。次に、DNS サービス プロバイダーまたはレジストラを使用して、このドメインの DNS レコードを管理します。これにより、DMZ での DNS サーバーの実行を停止できます。
内部的には、ネットワーク機器が提供する DNS サービスがあるかどうか確認する必要があります。一部のネットワーク デバイスでは、デバイス内で直接 DNS を管理できる場合があります。
そうでない場合は、内部 DNS 専用の小規模な VPS システムを検討してください。内部資産の独自のレコードを公開し、再帰と DNS キャッシュを処理するようにシステムを構成できます。この方法では、内部資産の IP とドメインは公開されません。
社内サーバーでは、再帰に OpenDNS や Google の DNS などのサービスを使用するフォワード キャッシュ DNS 設定を使用できます。これらのパブリック DNS サービスには、独自の DNS 再帰には含まれないセキュリティ機能がいくつか含まれています。これは、多くの場合、小規模オフィスやブランチ ネットワークにセキュリティを追加する簡単で安価な方法です。