Confusão com DNS no servidor Windows e Sonicwall

tag-icon tag-icon windows-server-2008 domain-name-system sonicwall
Confusão com DNS no servidor Windows e Sonicwall

Estive lendo um pouco esta noite sobre como configurar melhor nossa rede escolar para conectividade com a Internet. Funciona como está, mas de vez em quando ocorrem problemas no acesso cliente/servidor à Internet. (nota: o Sonicwall sempre vê a Internet)

Minha configuração como está:

Internet --- Sonicwall --- Switch gerenciado --- Servidor Win 2k8 r2 | Clientes e Impressoras

A Sonicwall

  • Zona LAN com um IP em nossa faixa de IP
  • Zona WAN com IP e DNS atribuídos ao ISP estático definidos para Google DNS e DNS do ISP como backup

O Windows Server (apenas um servidor de arquivos interno)

  • Diretório Ativo
  • DNS (definido como 127.0.0.1)
  • DHCP dinamicamente para um pequeno intervalo de convidados (telefones),
  • DHCP estaticamente para dispositivos e clientes de alunos e professores (para fins de filtragem)

Os clientes

  • Gateway definido para Sonicwall IP
  • DNS definido como IP do servidor (em alguns sistemas Win8, tive que definir um DNS alternativo para 8.8.8.8 para conectividade com a Internet.

Então, para perguntas:

Pelo que li esta noite, parece que deveria:

  • A WAN do Sonicwall olhando para dentro do IP do servidor para DNS
  • O servidor configurado para ter encaminhamento para olhar para o DNS do Google/ISP
  • O DNS dos clientes configurado para IP do servidor e gateway para IP do Sonicwall

Alguém pode verificar isso? Estou confuso. Se o Sonicwall procurar no servidor o DNS da Internet, meus clientes A) atrapalharão o servidor e B) não terão Internet quando o servidor estiver desligado?

Se esta não é a melhor prática, então o que é? Já estou fazendo certo? O DNS do cliente deve procurar o servidor E o ISP?

Obrigado! Chris

Responder1

Como o servidor está executando o Active Directory/DNS, os clientesDEVEter seu DNS configurado para o servidor para resolução/conectividade de domínio adequada com recursos internos.

A chave é ter o serviço DNS do servidor configurado para encaminhar todas as consultas não locais para um resolvedor externo (como o Google [8.8.8.8; 8.8.4.4]). O tráfego DNS é tão pequeno que não deve ter nenhum efeito perceptível no seu servidor, a menos que o cache esteja muito baixo.

A pilha de rede do servidor deve ser configurada para consultar 127.0.0.1 (ou seu endereço local) para resolução de DNS e o serviço configurado com encaminhadores.

No que diz respeito ao Sonicwall, você pode configurá-lo de qualquer maneira. Se você quiser que o Sonicwall seja capaz de resolver FQDNs internos e externos, será necessário usar seu servidor local para resolução. Se você precisar apenas de externo, configure-o para os resolvedores do seu ISP ou do Google.

Responder2

Como JuxVP já declarou, qualquer cliente Windows associado ao domíniodeveter seu DNS configurado para o servidor AD, caso contrário, muitos serviços falharão, especialmente a autenticação. Todos os outros clientes internos devem ter seu DNS configurado para o servidor AD se você quiser que eles resolvam nomes internos.

Além disso, os clientes Windows associados ao domínioNão devetem outros servidores DNS listados que não podem resolver consultas do AD porque o Windows não garante a ordem de pesquisa. Ex: se você tiver a seguinte configuração em um cliente:

DNS1: 192.168.10.10 (AD server)
DNS2: 8.8.8.8 (Google DNS)

então você provavelmente terá problemas de autenticação, travamentos incomuns ou outros problemas de comunicação. Isso ocorre porque o cliente pode consultar o DNS do Google adserver.domain.locale o servidor do Google responderá does not existem vez de um tempo limite. O cliente só tentará o outro servidor se o primeiro não responder. Se o cliente receber uma does not existresposta, ele desistirá e a pesquisa falhará.

Responder3

  • O servidor DNS da Sonicwall deve ser configurado para o endereço IP DNS do seu ISP.
  • Seu servidor (ou seja, servidor DNS de domínio) pode ser configurado com encaminhadores para o DNS do Google.
  • O DNS do endpoint deve ser configurado para o servidor DNS do domínio.

Responder4

Como você trabalha no setor educacional, recomendo configurar seu servidor DNS interno para encaminhar todas as solicitações ao OpenDNS. Eles oferecem planos especiais apenas para alunos do ensino fundamental e médio para aderir à conformidade da CIPA [0]. Eles também oferecem proteção contra malware, onde solicitações de recursos nefastos serão bloqueadas.

Com o acima configurado, defina cada host/dispositivo/etc. na sua rede para usar seu servidor DNS interno. Isso garantirá que seus clientes se conectem internamente com êxito e é especialmente importante ao executar o Microsoft Active Directory.

Em seguida, configure todas as ACLs do roteador e regras de firewall para permitir apenas consultas DNS de saída do seu servidor DNS interno para servidores OpenDNS. A vantagem disso é que alguns malwares tentarão realizar consultas DNS diretamente em servidores de nomes públicos. Esta configuração garante que a solicitação passará pelos seus servidores e, finalmente, pelo OpenDNS, onde será capturada. Qualquer host encontrado que não utilize o servidor DNS interno (logs de queda de firewall) deve ser investigado quanto a configuração incorreta ou malware, pois isso pode ser um indicador de comprometimento.

Por fim, implemente ACLs de roteador e/ou regras de firewall para bloquear o acesso ao seu servidor DNS pela Internet pública.

[0]https://www.opendns.com/enterprise-security/solutions/k-12/

informação relacionada