Вопрос или проблема
Можете посоветовать по поводу перехода на гибридный DNS?
В настоящее время все наши локальные машины получают свой IP-адрес от нашего Fortigate 60D (каждая машина либо получает IP-адрес через DHCP от Fortigate, либо имеет статический IP-адрес, установленный в Fortigate).
Наши записи DNS в настоящее время управляются с fortiddns.com.
Могу ли я создать локальный DNS-сервер, который будет выполнять разрешение имен для некоторых из наших локальных машин?
Сказав это, вы, безусловно, можете настроить внутренний DNS, чтобы он разрешал локальные хосты. Каждый раз, когда вы добавляете хост, вам нужно будет убедиться, что его DNS-запись добавлена на сервер, если у вас нет способа для них зарегистрироваться (активный каталог обычно заботится об этом в среде Windows). Я бы не советовал использовать .local, так как это может вызвать трудности в будущем, и его не рекомендуют использовать для локальных сетей. В средах активного каталога вы обычно видите компанию с сайтом MyCompany.com с публичным DNS-сервером для всех веб-ресурсов. Внутри вы создадите поддомен для вашего DNS-сервера, например, office.MyCompany.com, который вы на самом деле не будете публиковать в вашем публичном DNS, и он будет действителен только внутри. Ваши хосты будут выглядеть как computer1.office.mycompany.com, и поскольку ваш внутренний DNS-сервер знает, как обслуживать только поддомен office, он будет запрашивать внешние ресурсы для разрешения чего-либо еще. Это более правильный способ сделать это. Если вы хотите сохранить некоторую ссылку на .local, вы можете использовать local.mycompany.com. Для ваших резолверов вы можете установить имя хоста просто как computer1 и настроить его на поиск вашего сконфигурированного DNS-сервера для local.mycompany.com.
Точно неясно, чего вы пытаетесь достичь. Я думаю, вы имеете в виду, что у вас есть некоторые хосты, которые выделяются через DHCP, который связан с DNS-сервером, после чего становится немного запутанно.
Есть ли у вас также хосты, которые считаются находящимися в одной зоне, но не выделяются через DHCP, которые вы хотите добавить в зону DNS?
Если это так, и другие хосты находятся в одной подсети, то самым простым вариантом будет добавление статических отображений на DHCP-сервере для этих хостов.
Если другие хосты находятся в разных подсетях, то возможно, что эта конфигурация не будет работать и/или не решит проблему – моё первое предположение о решении было бы использовать DNSmasq, который может выступать в качестве прокси DNS с переопределением конкретных записей.
Все ли хосты, попадающие под действие, выделены через DHCP, но связанный DNS-сервер находится вне вашей текущей конфигурации резолвера DNS?
Просто определите зону и DNS-сервер для вашей существующей службы пересылки DNS.
Если это возможно, я продолжу использовать *.local в качестве FQDN.
Это, вероятно, возможно, но не рекомендуется. Это лучшее время, чтобы изменить это.
Ответ или решение
Разработка гибридной DNS-системы, которая будет сочетать функциональности Fortigate и локального DNS-сервера, вполне возможна и представляется целесообразной. Ниже приведены ключевые рекомендации по организации такой системы, включая создание локального DNS-сервера и интеграцию его с вашим текущим сетевым окружением.
Основные шаги по внедрению локального DNS-сервера:
-
Определение требований:
- Убедитесь, что вы понимаете, какие именно устройства в вашей сети нуждаются в именах, разрешаемых локально. Это могут быть как машины, настроенные на получение IP через DHCP, так и статически настроенные.
-
Создание локального DNS-сервера:
- Вы можете использовать сервер Windows с Active Directory, который будет управлять DNS-записями автоматически, или использовать свободные решения, такие как DNSmasq или BIND. Это позволит вам контролировать записи DNS для устройств в локальной сети.
- Являясь локальным DNS-сервером, он сможет разрешать запросы на локальные имена и, при необходимости, делать запросы к внешнемуDNS в случае отсутствия записи.
-
Настройка взаимодействия с Fortigate:
- В конфигурации Fortigate укажите IP-адрес вашего локального DNS-сервера в качестве основного DNS для всех ваших DHCP-клиентов. Все запрашиваемые ими DNS-имена будут сначала проверяться на локальном сервере. Если имя не будет найдено, запрос будет отправлен на основное DNS (например, fortiddns.com).
-
Управление записями DNS:
- Для устройств, не использующих DHCP, убедитесь, что вы создаете статические записи DNS на вашем локальном сервере. Это особенно важно для серверов и специализированных устройств, чьи IP-адреса могут изменяться.
- Избегайте использования суффиксов .local, так как это может привести к проблемам совместимости с другими протоколами и существует риск конфликтов в проблемных списках. Вместо этого рассмотрите возможность использования суффикса, основанного на вашем домене, например office.mycompany.com.
-
Обработка имен с различными подсетями:
- Если некоторые устройства находятся в разных подсетях, возможно потребуется настроить DNSmasq или другой прокси для DNS, который будет выполнять переадресацию запросов и управлять специфическими записями.
-
Проверка и тестирование:
- После настройки системы проведите тщательное тестирование, чтобы убедиться, что DNS-запросы обрабатываются правильно, включая локальные и внешние записи. Убедитесь, что все машины могут разрешить DNS-имена, как локальные, так и внешние.
Заключение
С введением локального DNS-сервера, связанного с Fortigate, вы значительно улучшите управление именами в вашей сети. Все изменения, включая создание и управление записями, должны быть документированы, чтобы упростить администрирование и сокращение шансов на ошибку. Кроме того, создание такой инфраструктуры позволит вашему бизнесу быть более гибким в управлении сетевыми ресурсами.