Я должен отключить рекурсию DNS?
У меня есть два Контроллера домена, оба - сервер DNS, и я установил Средство передачи для обоих (согласно ниже экрана Печати)
но я не имею, отключают рекурсию на обоих серверах (посмотрите ниже экрана печати),
существует одна рекомендация отключить рекурсию DNS. Я думаю, запрещаю ли я рекурсию DNS, она будет влиять на производительность, но я также хочу иметь лучшую помещенную безопасность. Сообщите мне то, что я должен сделать? я должен отключить рекурсию DNS?
Если вам НЕ НУЖНО использовать пересылки, вы не должны. Лучше всего позволить вашему DC решать внутренние и внешние проблемы. Это даст вам лучшую производительность. Единственная причина (-ы), по которой вы хотели бы иметь пересылки, - это если у вас есть только один DNS-сервер, у вас очень строгие требования к безопасности, ваш DC не имеет подключения к Интернету или ваши DNS-серверы перегружены. Если вы не используете серверы пересылки, ваш DC будет использовать записи сервера домена ROOT для разрешения (требуется подключение к Интернету DC)
Вы НЕ должны устанавливать сервер пересылки для каждого DC, чтобы они указывали друг на друга. Ваши клиенты должны указать оба DNS-сервера в своей IP-конфигурации. Если они это сделают, клиент их найдет. В противном случае вам следует исправить конфигурацию, чтобы оба DNS-сервера были указаны в конфигурации вашего клиента (Ipconfig / all)
В большинстве случаев:
Плохо:
- Рекурсивный сервер имен общедоступен.
Хорошо:
- Сервер имен для определенных доменов доступен публично.
- Рекурсивный сервер имен доступен в частном порядке (локальная сеть).
Чтобы убедиться, что рекурсивный сервер имен недоступен публично, я бы предложил сделать DNS-сервер / service прослушивает только частные адреса, и трафик, отправляемый на порт DNS (53) с любого общедоступного интерфейса, блокируется. Выполнение обоих действий гарантирует, что одно случайное изменение конфигурации не сделает ее общедоступной.
Зависит от потребностей вашего бизнеса. Если у вас есть клиенты, подключающиеся к этому DNS-серверу и запрашивающие у него имена, которых нет в вашей сети, такие как google.com, facebook.com, yahoo.com, whitehouse.gov и т. Д., Поскольку ваш DNS-сервер не является авторитетным для этих доменов вы должны использовать рекурсию, иначе разрешение имен не будет выполнено для внешних доменных имен, не размещенных на вашем DNS-сервере. Однако на большинстве рабочих мест доступ в Интернет разрешен, если вы находитесь в очень жестко контролируемой сети (в этом случае, если вам нужна исключительная безопасность, вам все равно не следует подключаться к Интернету), отключение рекурсии предотвратит разрешение имен имен, которые ваш DNS-сервер не является авторитетным для. Также стоит отметить, что если вы отключите рекурсию, то нет смысла добавлять серверы пересылки, поскольку они не будут использоваться. (Корневые подсказки также не будут использоваться, если рекурсия отключена.)