Роли DNS серверов
Cashing-only – не хранят на себе никаких зон, являются только серверами, где хранится кэш DNS запросов. Поэтому они не создают Zone Transfer трафик. Можно использовать у филиальном офисе, для уменьшения DNS трафика между ним и главным офисом.
Non-recursive – Сервера, на которых хранится DNS зона и у которых отключена возможность рекурсивного разрешения имени. Это приводит к тому, что если сервер не может разрешить имя (не имеет ресурсной записи) то DNS запрос будет не разрешен. Такие сервера можно ставить в роли внешних DNS серверов компаний. Так же это защитит от использования внешними пользователями ваших DNS серверов для разрешения DNS имен в интернете.
Forward-only – Понятно из названия, что сервера занимаются только пересылкой DNS запросов на другие сервера (обычный рекурсивный запрос – отключен). В таком случае, если сервер не получит ответа от других, то запрос будет не разрешен. Такие сервера можно использовать для управления DNS трафиком между корпоративной сетью и интернетом. В таком сценарии все внутренние сервера будет обращаться к Forward-only серверу с просьбой разрешить внешние имена. Пятно контакта с интернет уменьшится до одного DNS сервера.
Conditional forwards – Очень похоже на сервера Forward-only , но в отличии от них в том, что задается связка какой домен на какой IP нужно пересылать.
Таким образом все запросы связанные с contoso.msft , к примеру www.corp.contoso.msftбудут перенаправлены на 10.10.0.10
Уровни безопасности Microsoft DNS серверов
Выделяют 3 уровня:
Низкий уровень безопасности
Ваша DNS инфраструктура полностью выставлена в интернет
Обычное разрешение имен DNS выполняют все сервера в вашей сети
Все DNS сервера сконфигурированы на использование Root-Hint`ов
Все DNS сервера позволяют перемещение зоны на любые сервера
Все DNS сервера слушают на всех своих IP
Отключено очистка от старых записей в кэше
Динамическое обновление разрешено для всех зон
На пограничном Firewall пропускается DNS трафик в обе стороны
|
