Windows 2008 Домен - DHCP на сервере по сравнению с брандмауэром
Я не ISP, но действительно принимаю электронную почту. Если я не могу проверить Ваш rDNS затем, я, вероятно, заблокирую Вашу электронную почту. Если Вы используете свои серверы ISPs в качестве реле, отдаете Класс C и используете их частное пространство имен. Как почтовая программа Вам нужен адрес postmaster@ и abuse@, открытый для каждого домена отправки. Возвраты дорожки и битоприемник остальные. Если Вы отправляете по почте от имени кого-то, используют вторичный домен как campaign.client.com. Выезд http://www.maawg.org/sites/maawg.
Установите SPF как 'v=spf1 - все' для всех Ваших доменов отправки. Это поможет ограничить их использование спаммером. В случае неудачи SPF на Вашей HELO отклонит Ваше сообщение. Я могу исследовать его использование на rDNS адресе хоста также. Это должно совпасть с адресом HELO, но к сожалению не всегда.
Объемные и автоматизированные почтовые программы делают блокирующиеся подделки сервера трудными, потому что они так часто понимают превратно свой DNS и конфигурацию сервера. Я надеюсь, что Вы делаете его правильно.
Нет никаких реальных плюсов и минусов в использовании DHCP-сервера в брандмауэре по сравнению с сервером. Пока он правильно настроен, это не имеет большого значения. В некоторых случаях аппаратные межсетевые экраны имеют ограниченные ресурсы, которые лучше использовать для NAT, фильтрации пакетов и даже завершения VPN. Добавление DHCP, DNS и других лишних ролей может снизить производительность.
В Windows Server 2012 вы можете выполнять DHCP HA без использования кластеризации, так что у вас есть партнеры по аварийному переключению с горячим резервом. Это новая передовая практика для HA DHCP в отличие от старого метода кластеризации DHCP, который является сложным и громоздким. Если вас это действительно беспокоит, вам следует взять несколько копий Server 2012 или 2012 R2 и настроить их.
Также похоже, что у вас один контроллер домена. Это действительно плохо по ряду причин.
В дополнение к предоставленному ответу DNUCKLES, предполагая, что ваш DC также является вашим DNS-сервером и что вы правильно указываете клиентам домена только DC / DNS в их настройках DNS-клиентов, а затем включите DHCP брандмауэр не принесет клиентам много пользы, если у них нет разрешения DNS-имен от DC.
При этом вы можете (должны) настроить второй DC / DNS-сервер, а затем вы также можете запустить DHCP на этом втором сервере. Использование мастера разделения области DHCP позволит вам разделить область действия DHCP между двумя серверами, чтобы, если один из них не работает, другой по-прежнему мог предоставлять клиентам службы AD, DNS и DHCP.
ИЗМЕНИТЬ
Я просто видел ваш тег windows-server-2008 . Мастер разделения области DHCP появился в Windows Server 2008 R2.
Рискуя разделить волосы, следует отметить, что больше нет PDC, а есть эмуляторы PDC , которые являются ролью FSMO. При этом просьба предоставить список «за» и «против» для этого будет зависеть от того, что вы надеетесь использовать в качестве своего брандмауэра.
Возможно, наиболее заметным отличием и недостатком использования вашего брандмауэра по сравнению с Windows DHCP является то, что адреса ваших клиентов больше не будут динамически регистрироваться на вашем DNS-сервере.