目前我们有以下设置.我们有两个域控制器,它们也可以作为DNS服务器,用作本地客户端的解析器.我们还有完全相同DNS区域的外部自动DNS服务器,仅用于外部服务.这导致必须在两个服务器组上输入两次相同记录的情况.
一个明显的解决方案是仅使用内部服务器并消除外部服务器组.我们使用NAT,所有内部服务器都有私有范围的地址,例如. 192.168.1.0
来自外部世界的请求被转发到需要的任何机器.
问题是如果内部DNS服务器开始提供外部请求,如何避免泄漏内部地址(将解析为192.168 …)?
我们有类似的设置,但出于安全原因,我故意将外部DNS保存在与内部DNS不同的服务器上.只要将外部DNS移动到与内部也是Active Directory相同的服务器,就必须为解析器打开一个漏洞,以便为服务于内部Active Directory的同一台计算机.如果DNS服务中存在缺陷(如过去一样),则攻击者可能会破坏您的内部Active Directory计算机.通过将内部和外部DNS保存在不同的计算机上,您无需通过防火墙向内部DNS / Active Directory框打开任何内容,从而使其更安全恕我直言.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。