Кот Муций (cat_mucius) wrote,
Кот Муций
cat_mucius

Category:
  • Music:
Проделал небольшой экспериментик - при установке очередного Windows-домена проинтегрировал его в общий DNS. Обычно админы такого не делают - и из нежелания, чтобы их внутренние DNS-записи мог запрашивать любой желающий, и чтобы домен-контроллеры наружу не открывать или отдельные сервера под это дело не городить.

Но поскольку сеточка тестовая, то секретность ейной внутренней структуры мне пофигу, а вот выигрыш от открытости есть: какие бы DNS-сервера не были прописаны у юзеров, каким бы методом они не подключались - по личному VPN, по site-to-site VPN из другой сети, да хоть напрямую - записи будут им доступны. Поскольку вечные приколы VPN с сетевыми настройками задрали уже давно, универсальности хочется.

Что до домен-контроллеров, то открывать их во всеобщий доступ и мне не хотелось, по двум соображениям:
  • Чтобы не подставлять их под DoS или ещё какую пакость,
  • Чтобы не отключать на них рекурсию. Я хочу, чтобы они предоставляли внешнему миру информацию лишь о моём домене, а не о любом в мире. Можно, конечно, отключить, но тогда для машин во внутренней сети надо дополнительно что-то городить - лишнее усложнение.


    Поэтому пошёл искать службу-посредник, и нашёл: BuddyNS.

    Процесс простой:
    1. На файерволле разрешить входящий DNS-трафик только от их IP-адресов (и исходящий на них же - для уведомлений). Разрешить по обоим протоколам - и TCP, и UDP.
    2. В настройках DNS-сервера разрешить этим адресам zone transfer, и их же внести в список, кому посылать уведомления об изменениях в зоне).
    3. Указать несколько их серверов как Name Servers для конкретного домена. Этот список не имеет отношения к списку IP-адресов, вытягивающих записи из наших DC, хотя пересечения есть.
    4. Указать те же сервера как ответственные за наш домен на родительском домене (или у DNS-регистратора).
    5. Зарегистрироваться у BuddyNS, указать домен и внешний IP-адрес нашего DC, откуда те попытаются вытащить записи этого домена.

    Пара примечаний:
  • Эта контора только публикуют slave zones во внешний мир - форвардером они не работают. Если нет желания давать DC запрашивать DNS-сервера по всему миру, можно в качестве форвардеров указать адреса Гугла или OpenDNS. Понятно, не забыть про файерволл.
  • Понятно также, что с доменами типа .local делать нечего. Не надо такие заводить изначально.
  • Tags: networking
    Subscribe

    • Терроризм, ИГИЛ, женщины, Битлз

      Благодаря дискуссии с Дмитрием Аксельродом начитался разных интересных статей о терроризме и ИГИЛ: Йорам Швейцер, " Palestinian Female Suicide…

    • (no subject)

      Хочет кто в викторину поиграть? Тема - рок и поп-музыка 20-ого века, буквы соответствуют именам либо музыкантов, либо групп. Особенно интересуют…

    • Мартовское

      Перелетные птицы осенней порой Не летают на юг по одной, И олени, гуляя оленьей тропой Тоже ходят по ней толпой. И я был бы рад остаться с тобой, Но…

    • Post a new comment

      Error

      Anonymous comments are disabled in this journal

      default userpic

      Your reply will be screened

      Your IP address will be recorded 

    • 0 comments