У меня есть несколько вопросов о настройке Active Domain с помощью pfSense. Я довольно новичок в этом, и я не нашел никаких постов, конкретно посвященных этим вопросам, и я искал несколько часов.

Вот простая схема моей установки:

клиентские машины <-> сервер ADDC/DNS/DHCP для внутреннего DNS <-> перенаправлен в pfSense для внешнего DNS (преобразователя) и разделения трафика на VPN / non-VPN на основе IP внутренней сети <-> интернет

Ядро Windows Server 2016, контроллер домена Active Directory, является DNS-сервером для локальной сети и выдает DHCP-аренду.

У меня установлен DNS Windows для пересылки DNS-запросов на мой брандмауэр pfSense, если он не может разрешить имя (например, внешний DNS), на котором запущена служба распознавания DNS.

pfSense уже был настроен для направления трафика с определенных IP-адресов в Интернет с или без VPN до того, как я настроил ADDC/DNS/DHCP. VPN подключается через pfSense с использованием OpenVPN, и для каждого есть разные внешние рекурсивные DNS-серверы (я использую PIA и Google DNS соответственно).

После того, как я настроил Windows ADDC/DNS/DHCP-сервер, единственное, что я изменил в pfSense, - это отключение DHCP-сервера.

Пока все это работает хорошо, но, будучи новичком в использовании Windows Server для работы в сети, я надеялся, что некоторые люди смогут помочь мне с анализом этой установки. Вот мои конкретные вопросы:

1) Это как я должен это настроить? Что-то не так с тем, как это делается, или есть лучший способ сделать это?

2) ADDC/Internal DNS указывает только на себя для записей DNS (например, 127.0.0.1). Это правильно?

Я видел некоторые статьи о Technet, в которых говорилось, что лучше иметь другой DNS, на который можно указать - у меня нет другого DNS в моей сети (если вы не учитываете pfSense Resolver). Я вроде бы предположил, что это какая-то ссылка на отработку отказа или общую нагрузку (например, правило 80/20), но я действительно не уверен.

3) Внутренняя сеть удалена из pfSense - pfSense в основном имеет дело с чем-то внешним и ничем другим. Но он заполняет еще немало ролей. Это хороший способ настройки или есть ли преимущества в использовании Windows для указания на внешний DNS?

Было бы полезно настроить DNS-кеш с помощью Bind или Windows и использовать pfSense только в качестве брандмауэра?

|источник

1 ответ1

0

Если у вас есть только один DC, тогда, да, оставьте его указывать на себя в качестве основного DNS - это рекомендуемая Microsoft практика.

В идеале, однако, для "внешнего DNS" вы должны настроить серверы пересылки, как указано в этом вопросе ServerFault.com (который очень похож на ваш вопрос): https://serverfault.com/questions/601003/how-to-have- ваши-DNS-серверы-вперед-запросы-для-интернет-имен

Отредактируйте свойства вашего DNS-сервера> вкладка «Пересылки»> введите IP-адрес (а) вашего интернет-провайдера / внешних DNS-серверов. Вы можете использовать корневые ссылки, если хотите, или если экспедиторы недоступны. Также следует убедиться, что флажок «Дополнительно»> «Отключить рекурсию» снят.

Если вы хотите использовать корневые ссылки:

Если вкладка корневых ссылок DNS-сервера не заполнена, вы можете повторно ввести их из файла:% systemroot%\system32\dns\cache.dns. Чтобы ваш DNS-сервер рекурсивно разрешал запросы, ваш DNS-сервер не может размещать корневую (. Точка) зону.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .