Ich bin auf der Suche nach Input zu einem Best-Practice-Ansatz.
- Habe derzeit eine AD-Domäne mit deaktivierten sicheren dynamischen DNS-Updates (d. h. jeder Client kann einen DNS-Eintrag aktualisieren). Ich würde davon gerne abrücken.
- Über 50 Remote-Standorte (mit MPLS verbunden und jeder verfügt auch über einen Internet-Anschluss) – einige mit lokalen DHCP-Servern (Windows) und viele mit DHCP, das über Cisco-Switches läuft. Nur etwa 30–40 % der Standorte verfügen über lokales IT-Personal.
- Einige Clients verweisen für DNS auf AD (aber die meisten Sites haben keinen AD-Server), andere auf BIND-Resolver. Wir wechseln mehr zu BIND-Resolvern an lokalen Sites, um die Internetauflösung aus dem Internetkreis der Site heraus zu handhaben und so optimale Geolokalisierung und Leistung für SaaS-Apps sowie für RPZ zu erzielen. Wir ordnen die AD-Zonen den BIND-Servern unter, um Leistung und Ausfallsicherheit zu gewährleisten. Wenn Clients jedoch auf BIND verweisen, funktionieren dynamische DNS-Updates offensichtlich nicht.
Wir versuchen, die Dinge zu standardisieren und so sicher wie möglich zu halten. Optionen:
- Aktivieren Sie sichere DNS-Updates in AD und lassen Sie DHCP-Server die Aktualisierung von DNS-Namen im Auftrag der Clients übernehmen. Dies scheint keinen zusätzlichen Sicherheitsvorteil zu bieten, da jeder eine DHCP-Anfrage mit einem Option-81-Header senden kann. Außerdem bin ich mir nicht sicher, ob Cisco-Geräte dynamische DNS sicher aktualisieren können (z. B. mit Kerberos). Vermutlich nicht.
- Ähnlich wie Nr. 1, aber verwenden Sie MS DHCP nur für die Aktualisierungen (DHCP müsste in diesem Fall nicht notwendigerweise lokal im Büro sein, wenn der Standort nicht über eine Serverinfrastruktur verfügt).
- Holen Sie sich an jedem Standort einen AD-Server, der von Clients für primäres DNS (und DHCP) verwendet werden kann (und sichere DNS-Updates direkt von Clients aus abwickelt). Besorgen Sie sich auch einen BIND-Server für Internet-Suchen.
- Dasselbe wie Nr. 3, aber AD übernimmt sowohl interne als auch Internet-Funktionen. Wir nutzen jedoch BIND-Ansichten sehr häufig, daher bin ich mir nicht sicher, ob dies möglich ist, es sei denn, wir wechseln zu Server 2016 (jetzt 2012).
Was machen diejenigen von Ihnen da draußen in mittelgroßen bis großen Organisationen?
Antwort1
In meinem Netzwerk mit über 1000 Standorten haben wir schon vor langer Zeit darauf verzichtet, AD DCs an jedem Standort zu haben, aus offensichtlichen Kostengründen, ganz zu schweigen von der Tatsache, dass die Benutzer bei einem Netzwerkausfall sowieso keine Arbeit erledigen können, egal ob mit oder ohne AD (die Industriesysteme werden separat behandelt). Wir haben verschiedene Ansätze für DHCP/DNS, aber der wichtigste ist:
- zentralisiertes DHCP auf dedizierten Geräten (die im Wesentlichen ISC DHCP und BIND umschließen). Sie handhaben dynamische DNS-Updates von Option 81 zu den AD DNS-Servern und verwenden dazu ein spezielles Dienstkonto. Anderswo auf der Welt wird dies immer noch mit MS DHCP gehandhabt. Wir vertrauen den Namen, die dynamisch in DNS aktualisiert werden, nicht besonders, haben aber bisher nicht das Bedürfnis verspürt, einen Schritt weiter zu gehen, da dies höchstwahrscheinlich eine viel bessere Perimetersicherheit im Netzwerk erfordern würde, damit nicht verwaltete Geräte gar nicht erst in das Netzwerk gelangen können.
- Internes DNS auf AD-Domänencontrollern, verfügbar in den Rechenzentren und an den größten Benutzerstandorten
- dedizierte Appliances für die öffentliche Namensauflösung
- die Clients verweisen alle auf AD DNS, das dann für externe Domänen an die Appliances weiterleitet. Es gibt hier nicht viele erweiterte Funktionen.
Das Hauptproblem bei diesem Setup ist, dass die Geolokalisierung nicht funktioniert, da es nur in den drei Hauptrechenzentren öffentliche Resolver gibt. Normalerweise ist das kein großes Problem, da die meisten Browseranfragen über einen Cloud-Filterdienst geleitet werden, der DNS verwaltet. In letzter Zeit hat es die Dinge jedoch komplizierter gemacht, wenn wir Videodienste (z. B. Google Hangouts) verwenden, die von genauen Geoinformationen profitieren würden, um das richtige Rechenzentrum auszuwählen.