Внедрение DNS с горизонтом расщепления
В операционных системах Windows DNS имеет две основные функции: для разрешения IP-адресов в имена (и наоборот) и для обеспечения обмена данными на уровне домена и проверки подлинности для AD DS. Возможность хранить записи SRV позволяет клиентам-членам домена находить контроллеры домена для проверки подлинности и безопасности домена, а также выполнять балансировку нагрузки для различных контроллеров домена с помощью функции циклического перебора DNS.
Однако недоверенные пользователи уровня Интернета извне брандмауэра никогда не должны иметь возможности доступа к записям SRV и другим конфиденциальным данным AD DS с внутренних DNS-серверов. Эти данные должны оставаться отдельными и недоступными извне брандмауэра. В то же время DNS-записи серверов и служб, на которых размещены ресурсы уровня Интернета, такие как Интернет, почта и прокси-серверы, должны оставаться доступными.
Это проблема, с которой сталкиваются инженеры инфраструктуры в компании Contoso. Они должны определить, как справиться с этой проблемой наиболее удобным способом.
Что такое разбиение (расщепление) DNS?
Разделение DNS, также известное как DNS раcщепленного горизонта, использует одно и то же доменное имя DNS как для Интернета, так и для внутренних ресурсов члена домена. Однако роль DNS-сервера назначается отдельным серверам: один или несколько серверов для Интернета, а другие серверы для домена AD DS. Развертывание DNS таким образом требует дополнительных действий, чтобы убедиться, что конфиденциальная информация, найденная на стороне AD DS домена, отделяется от стороны Интернета. Кроме того, для обеспечения доступа к DNS-серверу, который находится за пределами внутреннего брандмауэра, к нему могут обращаться запросы извне брандмауэра.
Примечание.
Так как DNS является такой важной функцией для AD DS, роль DNS-сервера включается в контроллеры домена при развертывании.
Роль DNS можно интегрировать в AD DS, чтобы записи DNS хранились как объекты и атрибуты Active Directory. Тип зоны DNS в этом экземпляре называется интегрированной в Active Directory. Зоны, интегрированные в Active Directory, заменяют передачи из зоны DNS на репликацию AD DS и обеспечивают безопасное динамическое обновление записей клиента в этой зоне. В домене рекомендуется использовать службу DNS, интегрированную в Active Directory.
При использовании разбиения DNS для внутренних клиентов настраиваются только IP-адреса DNS-серверов, интегрированных в Active Directory, которые являются контроллерами домена. Все динамические обновления DNS клиента записываются в контроллеры домена. Все запросы DNS от внутренних клиентов поступают только на эти DNS-серверы.
Если разрешение имен требуется за пределами внутреннего домена, например для веб-серверов Интернета, необходимо либо создать эти записи вручную, либо использовать политики DNS для определения способа разрешения этих запросов.
Примечание.
Обычно DNS-серверы с выходом в Интернет развертываются в сети периметра между брандмауэрами.
Несмотря на то, что DNS-серверы с выходом в Интернет имеют то же имя домена, что и DNS-серверы, интегрированные в Active Directory, DNS-серверы с выходом в Интернет не хранят те же самые данные. Все записи в зоне DNS-серверов с выходом в Интернет создаются вручную.
Совет
Обычно зона DNS-серверов с выходом в Интернет содержит только записи для себя и других серверов, которые расположены в сети периметра и к которым требуется доступ из Интернета.
Если запрос к DNS-серверу, доступному через Интернет, поступает из Интернета, запрашивающего разрешение для любого ресурса уровня домена, например записи SRV, DNS-сервер, имеющий доступ к Интернету, отклоняет запрос, так как у него нет записей SRV — они хранятся только на доменных DNS-серверах, интегрированных в Active Directory. Так как он считает себя доверенным для зоны, сервер DNS, подключенный к Интернету, не делает итеративный запрос на серверы DNS, интегрированные с Active Directory.
Совет
Для дальнейшего повышения безопасности можно установить правило брандмауэра на внутренний брандмауэр, то есть брандмауэр между внутренней сетью и сетью периметра, чтобы отклонять все запросы DNS (TCP и UDP 53) от периметра к внутренней сети, сохраняя при этом разрешение на ответы DNS.
Реализация разбиения DNS
Использование одного и того же пространства имен внутри и снаружи упрощает доступ к ресурсам с точки зрения пользователей, но также повышает сложность управления. Внутренние записи DNS не должны быть доступны внешним образом, но обычно требуется некоторая синхронизация записей для внешних ресурсов. Например, то или иное имя может использоваться как во внутреннем, так и во внешнем пространстве имен Contoso.com.
Использование уникальных пространств имен для внутренних и общедоступных пространств имен обеспечивает четкое разграничение между внутренним и внешним DNS и позволяет избежать необходимости синхронизировать записи между пространствами имен. Однако в некоторых случаях наличие нескольких пространств имен может привести пользователей к путанице. Например, можно выбрать внешнее пространство имен для Contoso.com и внутреннее пространство имен для Contoso.local.
Совет
При реализации уникальной конфигурации пространства имен вы больше не будете привязаны к использованию зарегистрированных доменных имен.
Использование поддомена общедоступного пространства имен для AD DS позволяет избежать необходимости синхронизировать записи между внутренними и внешними DNS-серверами. Так как пространства имен связаны, пользователи обычно легко понимают эту структуру. Например, если общедоступное пространство имен имеет значение Contoso.com, вы можете реализовать внутреннее пространство имен в качестве поддоменного AD или как AD.Contoso.com
Рекомендации по разделенным DNS
Наличие соответствующего внутреннего и внешнего пространства имен DNS может привести к определенным проблемам. Однако разделение DNS может предоставить решение для этих проблем. Разделение DNS — это конфигурация, в которой в домене есть две зоны корневого сервера, содержащие сведения о регистрации имени домена.
Узлы внутренней сети для разрешения имен направляются в одну зону, в то время как внешние узлы — на другую. Например, в конфигурации DNS для домена contoso.comможет быть зона DNS, которая выглядит как пример в следующей таблице.
| Узел | Тип записи | IP-адрес |
|---|---|---|
| www | а | 131.107.1.200 |
| Ретрансляция | а | 131.107.1.201 |
| webServer1 | а | 192.168.1.200 |
| Exchange1 | а | 192.168.0.201 |
Когда клиентский компьютер в Интернете хочет получить доступ к ретранслятору SMTP с помощью опубликованного имени relay.contoso.com, он запрашивает DNS-сервер, который возвращает результат 131.107.1.201. Затем клиент устанавливает подключение к этому IP-адресу по протоколу SMTP.
Однако клиентские компьютеры в интрасети организации также используют опубликованное имя relay.contoso.com. DNS-сервер возвращает тот же результат: общедоступный IP-адрес 131.107.1.201. Теперь клиент пытается установить подключение к возвращенному IP-адресу с помощью внешнего интерфейса компьютера, на котором выполняется публикация. В зависимости от конфигурации клиента это действие может быть как успешным, так и неуспешным.
Настроив две зоны для одного доменного имени ― одно на каждом из двух DNS-серверов, ― можно избежать этой проблемы.
Внутренняя зона для Contoso.com будет содержать информацию из следующей таблицы.
| Узел | Тип записи | IP-адрес |
|---|---|---|
| www | CNAME | Webserver1.contoso.com |
| Ретрансляция | CNAME | Exchange1.contoso.com |
| webServer1 | а | 192.168.1.200 |
| Exchange1 | а | 192.168.0.201 |
Внешняя зона для Contoso.com будет содержать информацию из следующей таблицы.
| Узел | Тип записи | IP-адрес |
|---|---|---|
| www | а | 131.107.1.200 |
| Ретрансляция | а | 131.107.1.201 |
| MX | Relay.contoso.com |
Теперь клиентские компьютеры во внутренних и внешних сетях могут разрешить это имя relay.contoso.com в соответствующий внутренний или внешний IP-адрес.