Mehrere DNS Zonen

[KaWe 10]

Hallo zusammen,

wir haben bei uns im Unternehmen zwei Windows Server 2003 Domänencontroller welche ein AD integriertes DNS System verwalten.

Aktuell verwaltet dieser DNS Dienst alle inhouse Geräte in der Zone XXX.YYYY.DE (welche alle eine Private IP-Adresse aus dem 192er IP Adressbereich besitzen).

 

Darüber hinaus haben wir eine öffentliche Zone (über eine Astaro verwaltete DMZ) welche den Namen YYYY.DE trägt und sich insgesamt über 4 Hosts erstreckt.

 

Damit die sich in der DMZ befindlichen Systeme ebenfalls per Namen aufgelöst werden können (forward sowie reverse) sollen wir diese nach Möglichkeit in unserem internen AD-DNS Server integrieren.

 

Da es sich hierbei jedoch um ein Anderen Adressbereich bzw. Namespace handelt habe ich hier ein paar Fragen.

 

1. Ist es Problemlos möglich eine weitere Zone zu erstellen welche die öffentlichen Adressen verwaltet, bzw. welche Art Zone müsste es dann sein ?

2. ist es sicherheitstechnisch nicht riskant den DNS Dienst über eine Firewallregel in die DMZ zugreifen zu lassen ?

3. Was für alternativen bieten sich mir den Öffentlichen Bereich per Namen auflösern zu können ?

 

Ich hoffe Ihr könnt mir weiterhelfen

 

Gruss

 

KaWe

[NilsK 3.046]

Moin,

 

du kannst auf dem internen DNS so viele Zonen betreiben, wie du brauchst. Das ist auch durchaus üblich. Man kann sie auch als AD-integrierte Zonen aufbauen, dann ist die Replikation am flexibelsten.

 

Da sich die Hosts in der DMZ vermutlich nicht ständig ändern, sehe ich die Notwendigkeit nicht, einen Zonenabgleich über die Firewall hinweg zu betreiben. In den meisten Umgebungen reicht es völlig aus, die DMZ-Hosts in der internen Zone manuell zu pflegen. Und sonst grenzt man halt die Firewallregeln so ein, dass der DNS-Zonenabgleich von genau einem zu genau einem anderen Server geschieht; in dem Fall ist es dann logischerweise eine Secondary Zone, die ihrerseits Secondaries intern hat.

 

Gruß, Nils