none
Надо ли ставить DNS-сервер пересылок на ISA 2006 ? RRS feed

  • Вопрос

  • Добрый день всем!

     

    Ситуация такая:

    собираюсь поставить ISA 2006.

    В моей внутренней сетке есть DNS(интегрированный с AD).

    Прочитал книжку Томаса Шиндера про ISA Server 2004 - там сказано, что "если в во внутреней сети уже есть DNS-сервер, то устанавливать его еще раз (на ISA Server 2004) уже не нужно"...

    НО...

    Буквально через несколько страниц написано: "Если в организации имеется инфраструктура DNS, то следует настроить DNS-сервер внутренней сети на использование DNS-сервера на брандмауэре ISA Server 2004 в качестве сервера пересылки в DNS. Такая конфигурация является БОЛЕЕ БЕЗОПАСНОЙ, потому что DNS-сервер внутренней сети НИКОГДА НАПРЯМУЮ НЕ ВЗАИМОДЕЙСТВУЕТ С НЕВЫЗЫВАЮЩИМИ ДОВЕРИЯ DNS-сервером в Интернете."

     

    Так что же лучше/защищеннее/надежнее ?

    7 декабря 2007 г. 8:28

Ответы

  •  

    Если учесть, что внутренний DNS как правило это DC, то лучше, конечно, поставить DNS сервер на ISA для разрешения имен в интернете. Это исключает возможность атаки на внутренний сервер, в том числе атаки на DNS кэш.
    7 декабря 2007 г. 10:19
    Модератор

Все ответы

  •  

    Если учесть, что внутренний DNS как правило это DC, то лучше, конечно, поставить DNS сервер на ISA для разрешения имен в интернете. Это исключает возможность атаки на внутренний сервер, в том числе атаки на DNS кэш.
    7 декабря 2007 г. 10:19
    Модератор
  • С другой стороны DNS непосредственно на ISA Server тоже смотрится как-то... топорно.

    10 декабря 2007 г. 9:17
  • но если мы не используем domain.local - то без второго DNS нам никак, однозначно нужен внутренний и внешний.

    Или я ошибаюсь?!

    10 декабря 2007 г. 14:30
  •  

    Если вы имеете ввиду разрешение DNS-имен, то DNS-сервер умеет это делать вне зависимости от того, какое имя ведет он сам, зерегистрированное или нет. Достаточно открыть порт 53 TCP\UDP на фаерволе от вашего днс-сервера во внешнюю сеть.

    10 декабря 2007 г. 17:50
  •  dmitry_ch написано:

    Так что же лучше/защищеннее/надежнее ?

    Вам кто больше нравится - блондинки или брюнетки? Smile

    Информационные технологии - достаточно сложная вещь. В большинстве случаев не существует однозначных ответов на вопрос "что лучше". Правильный ответ - "это зависит". Правильное действие для каждой ситуации - это тщательно проанализировать устройство инфраструктуры, поставленные задаи и требования и имеющиеся ограничения. А на их основе уже принимать решение и строить дизайн. Это относится даже к небольшим "фичам", таким, как, например, публикация OWA, а уж тем более к работе таких критических сервисов, как DNS.
    11 декабря 2007 г. 0:36
  • можно согласиться с предыдущим оратором: выбирать по ситуации.

    но думаю, что стоит поставить на ИСу ДНС для пересылок.

    хуже уж точно не будет.(если не учитывать момент, что при увеличении числа компонентов вашей серверной конфигурации, общая надежность будет уменьшаться.)

    11 декабря 2007 г. 6:16