모범 사례 접근 방식에 대한 의견을 찾고 있습니다.
- 현재 보안 동적 DNS 업데이트가 비활성화된 AD 도메인이 있습니다(예: 모든 클라이언트가 DNS 레코드를 업데이트할 수 있음). 이것에서 벗어나고 싶습니다.
- 50개 이상의 원격 사이트(MPLS로 연결되어 있고 각 사이트에는 인터넷 회선도 있음) - 일부는 로컬 DHCP 서버(Windows)가 있고 대부분은 Cisco 스위치에서 실행되는 DHCP가 있습니다. 사이트의 약 30-40%만이 현지 IT 직원을 보유하고 있습니다.
- 일부 클라이언트는 DNS용 AD를 가리키고(대부분의 사이트에는 AD 서버가 없음) BIND 확인자를 가리키는 클라이언트도 있습니다. SaaS 앱은 물론 RPZ에 대한 최상의 지리적 위치 및 성능을 위해 사이트의 인터넷 회선에서 인터넷 해상도를 처리하기 위해 로컬 사이트의 BIND 확인자로 더 많이 이동합니다. 성능과 복원력을 위해 AD 영역을 BIND 서버에 종속시킵니다. 그러나 클라이언트가 BIND를 가리키면 분명히 동적 DNS 업데이트가 작동하지 않습니다.
우리는 표준화하고 가능한 한 안전하게 유지하려고 노력하고 있습니다. 옵션을 살펴보면 다음과 같습니다.
- AD에서 보안 DNS 업데이트를 활성화하고 DHCP 서버가 클라이언트를 대신하여 DNS 이름 업데이트를 처리하도록 합니다. 누구나 옵션 81 헤더를 사용하여 DHCP 요청을 보낼 수 있으므로 보안 값이 추가되지 않는 것 같습니다. 또한 Cisco 장치가 동적 DNS를 안전하게 업데이트할 수 있는지 확실하지 않습니다(예: Kerberos 사용). 추측하지 않습니다.
- #1과 유사하지만 업데이트에만 MS DHCP를 사용합니다(이 경우 사이트에 서버 인프라가 없으면 DHCP가 반드시 사무실에 로컬일 필요는 없습니다).
- 클라이언트가 기본 DNS(및 DHCP)에 사용할 수 있는 모든 사이트에서 AD 서버를 가져옵니다(그리고 클라이언트에서 직접 보안 DNS 업데이트를 처리합니다). 또한 인터넷 조회를 위한 BIND 서버도 있습니다.
- #3과 동일하지만 AD가 내부 및 인터넷을 모두 수행하도록 합니다. 그러나 우리는 BIND 뷰를 상당히 많이 사용하므로 Server 2016(현재 2012)을 이동하지 않는 한 이것이 가능한지 확신할 수 없습니다.
중간 규모부터 대규모 조직에 종사하는 분들은 어떤 일을 하시나요?
답변1
1000개 이상의 위치 네트워크에서 우리는 오래 전에 명백한 비용상의 이유로 각 위치에 AD DC를 두는 것을 포기했습니다. 네트워크가 다운되면 사용자가 AD이든 아니든 어떤 작업도 수행할 수 없다는 사실은 말할 것도 없습니다. AD(산업 시스템은 별도로 처리됩니다). DHCP/DNS에 대한 다양한 접근 방식이 있지만 주요 접근 방식은 다음과 같습니다.
- 전용 어플라이언스의 중앙 집중식 DHCP(기본적으로 ISC DHCP 및 BIND를 래핑함) 특정 서비스 계정을 사용하여 옵션 81에서 AD DNS 서버로의 동적 DNS 업데이트를 처리합니다. 세계 다른 곳에서는 여전히 MS DHCP를 사용하여 처리됩니다. 우리는 DNS에서 동적으로 업데이트되는 이름을 특별히 신뢰하지는 않지만 지금까지 한 단계 더 나아갈 필요성을 느끼지 않았습니다. 이를 위해서는 관리되지 않는 장치가 액세스할 수 없도록 네트워크에서 훨씬 더 나은 경계 보안이 필요할 가능성이 높기 때문입니다. 먼저 네트워크에 접속하세요.
- 데이터 센터 및 최대 사용자 위치에서 사용 가능한 AD 도메인 컨트롤러의 내부 DNS
- 공개 이름 확인을 위한 전용 어플라이언스
- 클라이언트는 모두 AD DNS를 가리킨 다음 외부 도메인용 어플라이언스로 전달합니다. 여기에는 고급 기능이 많이 포함되어 있지 않습니다.
이 설정의 주요 문제는 3개의 주요 데이터 센터에만 공개 확인자가 있기 때문에 지리적 위치화가 작동하지 않는다는 것입니다. 대부분의 브라우저 요청은 DNS를 처리하는 클라우드 필터링 서비스를 통해 프록시되기 때문에 일반적으로 큰 문제는 아니지만 최근에는 정확한 지리 정보를 활용하여 올바른 데이터 센터를 선택하는 비디오 서비스(예: Google 행아웃)를 사용할 때 상황이 복잡해졌습니다. .