Menerapkan DNS split-horizon
Dalam sistem operasi Windows, DNS memiliki dua fungsi utama: untuk menyelesaikan alamat IP ke nama (dan sebaliknya), dan untuk memfasilitasi komunikasi dan autentikasi tingkat domain untuk AD DS. Kemampuan untuk menyimpan catatan SRV memungkinkan klien anggota domain untuk menemukan pengontrol domain untuk autentikasi dan keamanan domain sambil memuat akses penyeimbang ke berbagai pengontrol domain dengan menggunakan fungsionalitas round-robin DNS.
Namun, pengguna tidak tepercaya tingkat internet dari luar firewall seharusnya tidak pernah dapat mengakses catatan SRV dan informasi AD DS sensitif lainnya dari server DNS internal. Data itu harus tetap terpisah dan tidak dapat diakses dari luar firewall. Pada saat yang sama, catatan DNS dari server dan layanan yang menghosting sumber daya tingkat internet, seperti web, email, dan server proksi, harus tetap dapat diakses.
Ini adalah masalah yang dihadapi para insinyur infrastruktur di Contoso. Mereka harus menentukan cara yang nyaman untuk mengatasi masalah ini.
Apa itu DNS bertahap?
Split DNS, juga dikenal sebagai split-horizon DNS, menggunakan nama domain DNS yang sama untuk internet dan sumber daya anggota domain internal. Namun, peran server DNS ditetapkan ke server terpisah: satu atau lebih server untuk internet, dan server lain untuk domain AD DS. Menyebarkan DNS dengan cara ini memerlukan langkah ekstra untuk memastikan bahwa informasi sensitif yang ditemukan di sisi domain AD DS terpisah dari sisi internet, dan untuk memastikan bahwa hanya server DNS yang disebarkan di sisi internet, yaitu di luar firewall dalam, yang dapat diakses oleh query dari luar firewall.
Catatan
Karena DNS adalah fungsi vital untuk AD DS, peran server DNS biasanya disertakan dengan pengontrol domain saat digunakan.
Anda dapat mengintegrasikan peran DNS ke AD DS sehingga catatan DNS disimpan sebagai objek dan atribut Active Directory. Jenis zona DNS dalam contoh ini disebut sebagai Active Directory-terintegrasi. Zona terintegrasi direktori aktif menggantikan transfer zona DNS dengan replikasi AD DS dan dapat memastikan pembaruan dinamis yang aman dari catatan klien ke zona tersebut. Dalam domain, menggunakan Active Directory-terintegrasi DNS adalah praktik terbaik.
Dengan DNS split, klien internal hanya dikonfigurasi dengan alamat IP dari server DNS terintegrasi Active Directory, yang merupakan pengontrol domain. Semua pembaruan dinamis DNS klien ditulis ke pengontrol domain. Semua kueri DNS dari klien internal hanya masuk ke server DNS ini.
Jika resolusi nama diperlukan di luar domain internal, seperti untuk server web internet, Anda harus membuat catatan tersebut secara manual, atau menggunakan kebijakan DNS untuk menentukan cara kueri tersebut diselesaikan.
Catatan
Anda biasanya menggunakan server DNS yang menghadap internet di jaringan perimeter di antara firewall.
Meskipun server DNS yang terhubung ke internet memiliki nama domain yang sama dengan server DNS terintegrasi Active Directory, server DNS yang terhubung ke internet tidak menyimpan data yang sama. Semua catatan di zona server DNS yang terhubung ke internet dibuat secara manual.
Tip
Biasanya, zona server DNS yang menghadap internet hanya berisi catatan untuk dirinya sendiri dan server lain yang terletak di jaringan perimeter dan perlu diakses dari internet.
Saat kueri ke server DNS yang terhubung ke internet masuk dari internet yang meminta resolusi pada sumber daya tingkat domain apa pun, seperti data SRV, server DNS yang terhubung ke internet akan menolak kueri karena tidak memiliki rekaman SRV—ini hanya disimpan di server DNS terintegrasi Active Directory domain. Karena menganggap dirinya otoritatif untuk zona tersebut, server DNS yang menghadap internet tidak membuat kueri berulang ke server DNS terintegrasi Active Directory.
Tip
Untuk lebih meningkatkan keamanan, Anda dapat menetapkan aturan firewall di firewall bagian dalam, yaitu firewall antara jaringan internal dan perimeter, untuk menolak semua permintaan DNS (TCP dan UDP port 53) dari perimeter ke jaringan internal, sementara masih memungkinkan balasan DNS.
Terapkan DNS terpisah
Menggunakan namespace yang sama secara internal dan eksternal menyederhanakan akses sumber daya dari perspektif pengguna, tetapi juga meningkatkan kompleksitas manajemen. Anda tidak boleh membuat catatan DNS internal tersedia secara eksternal, tetapi beberapa sinkronisasi catatan untuk sumber daya eksternal biasanya diperlukan. Misalnya, ruang nama internal dan eksternal Anda mungkin menggunakan nama Contoso.com.
Menggunakan ruang nama unik untuk ruang nama internal dan publik memberikan gambaran yang jelas antara DNS internal dan eksternal, dan menghindari kebutuhan untuk menyinkronkan catatan antara ruang nama. Namun, dalam beberapa kasus, memiliki beberapa ruang nama dapat menyebabkan kebingungan pengguna. Misalnya, Anda dapat memilih ruang nama eksternal Contoso.com dan ruang nama internal Contoso.local.
Tip
Saat Anda menerapkan konfigurasi namespace yang unik, Anda tidak lagi terikat untuk menggunakan nama domain terdaftar.
Menggunakan subdomain dari namespace publik untuk AD DS menghindari kebutuhan untuk menyinkronkan catatan antara server DNS internal dan eksternal. Karena ruang nama ditautkan, pengguna biasanya menemukan struktur ini mudah dimengerti. Misalnya, jika ruang nama publik Anda adalah Contoso.com, Anda dapat memilih untuk menerapkan ruang nama internal sebagai AD subdomain, atau sebagai AD.Contoso.com.
Pertimbangan untuk DNS split
Memiliki namespace DNS internal dan eksternal yang cocok dapat menimbulkan masalah tertentu. Namun, DNS split dapat memberikan solusi untuk masalah ini. Split DNS adalah konfigurasi di mana domain Anda memiliki dua zona root-server yang berisi informasi pendaftaran nama domain.
Host jaringan internal Anda diarahkan ke satu zona, sedangkan host eksternal diarahkan ke zona lain untuk resolusi nama. Misalnya, dalam konfigurasi DNS non-split untuk domain contoso.com, Anda mungkin memiliki zona DNS yang terlihat seperti contoh di tabel berikut.
| Host | Jenis rekaman | Alamat IP |
|---|---|---|
| www | A | 131.107.1.200 |
| Relai | A | 131.107.1.201 |
| Webserver1 | A | 192.168.1.200 |
| Exchange1 | A | 192.168.0.201+ |
Ketika komputer klien di internet ingin mengakses SMTP relay dengan menggunakan nama yang dipublikasikan relay.contoso.com, ia meminta server DNS yang mengembalikan hasil 131.107.1.201. Klien kemudian membuat koneksi melalui SMTP ke alamat IP tersebut.
Namun, komputer klien pada intranet organisasi juga menggunakan nama yang dipublikasikan relay.contoso.com. Server DNS mengembalikan hasil yang sama: alamat IP publik 131.107.1.201. Klien sekarang mencoba untuk membuat koneksi ke alamat IP yang ditampilkan dengan menggunakan antarmuka eksternal komputer penerbitan. Tergantung pada konfigurasi klien, ini mungkin berhasil atau tidak.
Dengan mengonfigurasi dua zona untuk nama domain yang sama―satu di masing-masing dari dua server DNS―Anda dapat menghindari masalah ini.
Zona internal untuk Contoso.com akan berisi informasi dalam tabel berikut.
| Host | Jenis rekaman | Alamat IP |
|---|---|---|
| www | CNAME | Webserver1.contoso.com |
| Relai | CNAME | Exchange1.contoso.com |
| Webserver1 | A | 192.168.1.200 |
| Exchange1 | A | 192.168.0.201+ |
Zona eksternal untuk Contoso.com akan berisi informasi dalam tabel berikut.
| Host | Jenis rekaman | Alamat IP |
|---|---|---|
| www | A | 131.107.1.200 |
| Relai | A | 131.107.1.201 |
| MX | Relay.contoso.com |
Sekarang, komputer klien di jaringan internal dan eksternal dapat mengatasi nama relay.contoso.com ke alamat IP internal atau eksternal yang sesuai.