Windows 서버 및 Sonicwall의 DNS와 혼동

tag-icon tag-icon windows-server-2008 domain-name-system sonicwall
Windows 서버 및 Sonicwall의 DNS와 혼동

저는 오늘 밤 인터넷 연결을 위해 학교 네트워크를 가장 잘 설정하는 방법에 대해 조금 읽었습니다. 그대로 작동하지만 때때로 인터넷에 대한 클라이언트/서버 액세스에 문제가 있습니다. (참고: Sonicwall은 항상 인터넷을 확인합니다)

내 설정은 다음과 같습니다.

인터넷---Sonicwall---관리형 스위치---Win 2k8 r2 서버 | 클라이언트 및 프린터

소닉월

  • IP 범위에 IP가 있는 LAN 영역
  • 고정 ISP 할당 IP 및 DNS가 Google DNS로 설정되고 ISP의 DNS가 백업으로 설정된 WAN 영역

Windows Server(내부 파일 서버)

  • 액티브 디렉토리
  • DNS(127.0.0.1로 설정)
  • 소규모 게스트 범위(전화)에 대해 동적으로 DHCP
  • 장치와 학생 및 교사 클라이언트에 대해 정적으로 DHCP(필터링 목적)

클라이언트

  • Sonicwall IP로 설정된 게이트웨이
  • 서버 IP로 설정된 DNS(일부 Win8 시스템에서는 인터넷 연결을 위해 대체 DNS를 8.8.8.8로 설정해야 했습니다.

그래서 질문에:

오늘 밤 읽은 내용에 따르면 다음과 같은 내용을 갖추어야 할 것 같습니다.

  • DNS용 서버 IP 내부를 찾는 Sonicwall WAN
  • Google/ISP DNS로 외부를 바라보도록 전달되도록 설정된 서버
  • 클라이언트 DNS는 서버 IP로 설정되고 게이트웨이는 Sonicwall IP로 설정됩니다.

누구든지 이것을 확인할 수 있습니까? 나는 혼란스럽다. Sonicwall이 인터넷 DNS용 서버를 찾는다면 내 클라이언트는 A) 서버를 중단시키고 B) 서버가 꺼져 있을 때 인터넷이 없습니까?

이것이 모범 사례가 아니라면 무엇입니까? 나는 이미 하고 있는 게 맞나요? 클라이언트 DNS는 서버와 ISP를 찾아야 합니까?

감사해요! 크리스

답변1

서버가 Active Directory/DNS를 실행하고 있으므로 클라이언트는해야 하다내부 리소스에 대한 적절한 도메인 확인/연결을 위해 DNS를 서버로 설정하십시오.

핵심은 모든 비로컬 쿼리를 외부 확인자(예: Google [8.8.8.8; 8.8.4.4])로 전달하도록 서버의 DNS 서비스를 구성하는 것입니다. DNS 트래픽은 너무 작아서 캐시를 너무 낮게 설정하지 않는 한 서버에 눈에 띄는 영향을 미치지 않습니다.

서버의 네트워크 스택은 DNS 확인을 위해 127.0.0.1(또는 해당 로컬 주소)을 찾도록 구성되어야 하며 서비스는 전달자로 구성되어야 합니다.

Sonicwall과 관련하여 어느 쪽이든 설정할 수 있습니다. Sonicwall이 내부 및 외부 FQDN을 모두 확인할 수 있도록 하려면 로컬 서버를 사용하여 확인해야 합니다. 외부만 필요한 경우 ISP 확인자 또는 Google로 설정하세요.

답변2

JuxVP가 이미 언급했듯이 도메인에 가입된 모든 Windows 클라이언트는~ 해야 하다DNS를 AD 서버로 설정하십시오. 그렇지 않으면 많은 서비스, 특히 인증이 실패합니다. 다른 모든 내부 클라이언트가 내부 이름을 확인하려면 해당 DNS가 AD 서버로 설정되어 있어야 합니다.

또한 도메인에 가입된 Windows 클라이언트는해서는 안 된다Windows에서는 조회 순서를 보장하지 않으므로 AD 쿼리를 해결할 수 없는 다른 DNS 서버가 나열되어 있습니다. 예: 클라이언트에 다음 구성이 있는 경우:

DNS1: 192.168.10.10 (AD server)
DNS2: 8.8.8.8 (Google DNS)

그러면 인증 문제, 비정상적인 응답 중단 또는 기타 통신 문제가 발생할 가능성이 높습니다. 이는 클라이언트가 Google의 DNS에 쿼리할 수 adserver.domain.local있고 Google 서버가 does not exist시간 초과 대신 응답할 수 있기 때문입니다. 클라이언트는 첫 번째 서버가 응답하지 않는 경우에만 다른 서버를 시도합니다. 클라이언트가 응답을 받으면 does not exist포기하고 조회가 실패합니다.

답변3

  • Sonicwall의 DNS 서버는 ISP의 DNS IP 주소에 맞게 구성되어야 합니다.
  • 귀하의 서버(즉, 도메인 DNS 서버)는 Google의 DNS에 대한 전달자를 사용하여 구성될 수 있습니다.
  • 엔드포인트의 DNS는 domian의 DNS 서버에 대해 구성되어야 합니다.

답변4

귀하는 교육 부문에 종사하고 있으므로 모든 요청을 OpenDNS로 전달하도록 내부 DNS 서버를 구성하는 것이 좋습니다. CIPA 규정을 준수하기 위해 K-12만을 위한 특별 계획을 제공합니다 [0]. 또한 악의적인 리소스에 대한 요청을 차단하는 맬웨어 방지 기능도 제공합니다.

위와 같이 구성한 후 모든 호스트/장치/등을 설정합니다. 내부 DNS 서버를 사용하려면 네트워크에서 이렇게 하면 클라이언트가 내부적으로 서로 성공적으로 연결될 수 있으며 Microsoft Active Directory를 실행할 때 특히 중요합니다.

그런 다음 내부 DNS 서버에서 OpenDNS 서버로의 아웃바운드 DNS 쿼리만 허용하도록 모든 라우터 ACL 및 방화벽 규칙을 구성합니다. 이것의 이점은 일부 맬웨어가 공개 이름 서버에 직접 DNS 쿼리를 수행하려고 시도한다는 것입니다. 이 구성을 사용하면 요청이 서버를 통과하고 궁극적으로 OpenDNS를 통해 포착될 수 있습니다. 내부 DNS 서버(방화벽 삭제 로그)를 사용하지 않는 것으로 확인된 모든 호스트는 손상의 지표일 수 있으므로 구성 오류나 악성 코드가 있는지 조사해야 합니다.

마지막으로 라우터 ACL 및/또는 방화벽 규칙을 구현하여 공용 인터넷에서 DNS 서버에 대한 액세스를 차단합니다.

[0]https://www.opendns.com/enterprise-security/solutions/k-12/

관련 정보