Windows 伺服器和 Sonicwall 上的 DNS 混淆

tag-icon tag-icon windows-server-2008 domain-name-system sonicwall
Windows 伺服器和 Sonicwall 上的 DNS 混淆

今晚我讀了一些關於如何最好地設定我們學校網路以實現網路連線的內容。它按原樣工作,但客戶端/伺服器存取 Internet 時不時會出現問題。 (注意:Sonicwall 總是能看到網路)

我的設定如下:

網際網路---Sonicwall---託管交換器---Win 2k8 r2 伺服器 |用戶端和印表機

音牆

  • IP 範圍在我們的 IP 範圍內的 LAN 區域
  • WAN 區域,靜態 ISP 分配的 IP 和 DNS 設定為 Google DNS 和 ISP 的 DNS 作為備份

Windows Server(只是內部文件伺服器)

  • 活動目錄
  • DNS(設定為127.0.0.1)
  • 為小範圍訪客(電話)動態分配 DHCP,
  • 為設備以及學生和教師用戶端靜態提供 DHCP(用於過濾目的)

客戶

  • 網關設定為 Sonicwall IP
  • DNS 設定為伺服器 IP(在某些 Win8 系統上,我必須將備用 DNS 設定為 8.8.8.8 以實現 Internet 連線。

那麼,對於問題:

從我今晚讀到的內容來看,我似乎應該:

  • Sonicwall WAN 向內尋找 DNS 伺服器 IP
  • 伺服器設定為具有轉送以向外查找 Google/ISP DNS
  • 用戶端 DNS 設定為伺服器 IP 和 Sonicwall IP 的網關

任何人都可以驗證這一點嗎?我很困惑。如果 Sonicwall 向伺服器尋找 Internet DNS,我的客戶端是否會 A) 伺服器癱瘓,B) 伺服器關閉時沒有 Internet?

如果這不是最佳實踐,那什麼才是?我已經做對了嗎?客戶端 DNS 是否應該查找伺服器和 ISP?

謝謝!克里斯

答案1

由於伺服器正在執行 Active Directory/DNS,因此客戶端必須將其 DNS 設定為伺服器,以實現正確的網域解析/與內部資源的連接。

關鍵在於將伺服器的 DNS 服務配置為將所有非本機查詢轉送到外部解析器(例如 Google [8.8.8.8; 8.8.4.4])。 DNS 流量非常小,除非您將快取設定得太低,否則它不會對您的伺服器產生任何明顯的影響。

伺服器的網路堆疊應配置為查找 127.0.0.1(或其本機位址)進行 DNS 解析,並使用轉發器設定服務。

就 Sonicwall 而言,您可以採用任何一種方式進行設定。如果您希望 Sonicwall 能夠解析內部和外部 FQDN,那麼它將需要使用您的本機伺服器進行解析。如果您只需要外部,則將其設定為您的 ISP 解析器或 Google 的解析器。

答案2

正如 JuxVP 已經指出的那樣,任何加入網域的 Windows 用戶端必須將其 DNS 設定為 AD 伺服器,否則許多服務將失敗,尤其是身份驗證。如果您希望所有其他內部用戶端解析內部名稱,則應將其 DNS 設定為 AD 伺服器。

此外,加入網域的 Windows 用戶端一定不列出任何其他無法解析 AD 查詢的 DNS 伺服器,因為 Windows 不保證查找順序。例如:如果您在客戶端上有以下配置:

DNS1: 192.168.10.10 (AD server)
DNS2: 8.8.8.8 (Google DNS)

那麼您可能會遇到身份驗證問題、異常掛起或其他通訊問題。這是因為客戶端可能會查詢 Google 的 DNS,adserver.domain.local而 Google 的伺服器將回應does not exist而不是逾時。如果第一個伺服器沒有回應,客戶端只會嘗試另一個伺服器。如果客戶端收到does not exist回應,它將放棄並且查找將失敗。

答案3

  • 應根據您的 ISP 的 DNS IP 位址配置 Sonicwall 的 DNS 伺服器。
  • 您的伺服器(即網域 DNS 伺服器)可以設定 Google DNS 的轉發器。
  • 應為網域的 DNS 伺服器配置端點的 DNS。

答案4

由於您在教育部門工作,我建議您配置內部 DNS 伺服器以將所有請求轉送到 OpenDNS。他們專門為 K-12 提供特殊計劃,以遵守 CIPA 合規性 [0]。它們還提供惡意軟體防護,阻止對惡意資源的請求。

配置上述內容後,設定每個主機/設備等。在您的網路上使用內部 DNS 伺服器。這樣做將確保您的用戶端能夠在內部成功地相互連接,這在執行 Microsoft Active Directory 時尤其重要。

接下來,將所有路由器 ACL 和防火牆規則設定為僅允許從內部 DNS 伺服器到 OpenDNS 伺服器的出站 DNS 查詢。這樣做的好處是,某些惡意軟體會嘗試直接向公用名稱伺服器執行 DNS 查詢。此配置可確保請求將通過您的伺服器並最終透過 OpenDNS 擷取。任何發現不使用內部 DNS 伺服器(防火牆丟棄日誌)的主機都應該調查是否有錯誤配置或惡意軟體,因為這可能是妥協的跡象。

最後,實施路由器 ACL 和/或防火牆規則以阻止從公共網際網路存取您的 DNS 伺服器。

[0]https://www.opendns.com/enterprise-security/solutions/k-12/

相關內容