Procurando alguma contribuição sobre uma abordagem de práticas recomendadas.
- Atualmente tem um domínio AD com atualizações dinâmicas seguras de DNS desabilitadas (por exemplo, qualquer cliente pode atualizar um registro DNS). Gostaria de me afastar disso.
- Mais de 50 sites remotos (conectados com MPLS e cada um com um circuito de Internet também) - alguns com servidores DHCP locais (Windows) e muitos com DHCP executado em switches Cisco. apenas cerca de 30-40% dos sites possuem equipe de TI local.
- Alguns clientes apontam para AD para DNS (mas a maioria dos sites não possui um servidor AD), outros para resolvedores BIND. Migrando mais para resolvedores BIND em sites locais para lidar com a resolução da Internet fora do circuito de Internet do site para obter melhor geolocalização e desempenho para aplicativos SaaS, bem como para RPZ. Nós escravizamos as zonas AD aos servidores BIND para desempenho e resiliência. Entretanto, se os clientes apontarem para o BIND, obviamente as atualizações de DNS dinâmico não funcionarão.
Estamos tentando padronizar e manter as coisas o mais seguras possível. Olhando as opções:
- Habilite atualizações seguras de DNS no AD e faça com que os servidores DHCP lidem com a atualização de nomes DNS em nome dos clientes. Parece que isso não agrega nenhum valor de segurança, pois qualquer pessoa pode enviar uma solicitação DHCP com um cabeçalho da Opção 81. Além disso, não tenho certeza se os dispositivos Cisco podem atualizar o DNS dinâmico com segurança (por exemplo, com Kerberos). Acho que não.
- Semelhante ao nº 1, mas use o MS DHCP apenas para as atualizações (o DHCP não seria necessariamente local para o escritório neste caso se o site não tiver infraestrutura de servidor).
- Obtenha um servidor AD em cada site que possa ser usado para DNS primário (e DHCP) pelos clientes (e lide com atualizações seguras de DNS diretamente dos clientes). Também possui servidor BIND para pesquisas na Internet.
- O mesmo que o nº 3, mas o AD faz tanto interno quanto na Internet. No entanto, fazemos uso bastante das visualizações BIND, portanto, não temos certeza se isso será possível, a menos que mudemos o Server 2016 (em 2012 agora).
O que vocês que trabalham em organizações de médio e grande porte fazem?
Responder1
Na minha rede de mais de 1.000 locais, há muito tempo desistimos de ter AD DCs em cada local por razões óbvias de custo, sem mencionar o fato de que, se a rede estiver inoperante, os usuários não realizarão nenhum trabalho de qualquer maneira, com AD ou não. AD (os sistemas industriais são tratados separadamente). Temos várias abordagens para DHCP/DNS, mas a principal delas é:
- DHCP centralizado em dispositivos dedicados (que basicamente envolvem ISC DHCP e BIND). Eles lidam com atualizações dinâmicas de DNS da opção 81 para os servidores AD DNS usando uma conta de serviço específica para fazer isso. Em outras partes do mundo, isso ainda é tratado usando MS DHCP. Não confiamos particularmente nos nomes que são atualizados dinamicamente no DNS, mas não sentimos a necessidade de dar um passo adiante até agora, pois isso provavelmente exigiria uma segurança de perímetro muito melhor na rede para que os dispositivos não gerenciados não possam entre na rede em primeiro lugar.
- DNS interno em controladores de domínio AD disponíveis nos datacenters e nos maiores locais de usuários
- dispositivos dedicados para resolução de nomes públicos
- todos os clientes apontam para AD DNS, que então encaminha para os dispositivos para domínios externos. Não há muitas funcionalidades avançadas aqui.
O principal problema dessa configuração é que a geolocalização não funciona, pois existem resolvedores públicos apenas nos três datacenters principais. Isso geralmente não é um grande problema, já que a maioria das solicitações do navegador são proxy através de um serviço de filtragem em nuvem que lida com DNS, mas ultimamente tem complicado as coisas quando usamos serviços de vídeo (por exemplo, Google Hangouts) que se beneficiariam de informações geográficas precisas para selecionar o datacenter certo .