无论是整个互联网还是基于目录服务的网络,DNS 都是将它们结合在一起的粘合剂。 一个简单的 DNS 故障可以转化为整个网络故障,并且因为您的网络就是您的业务,所以这也会转化为业务失败。 这种关键网络服务的依赖性与典型 DNS 上托管的大量网络信息相结合,使您的网络容易受到外部攻击。 DNS 现在与 HTTP 并列为 DNS DDOS、NXDOMAIN 和 DNS 劫持等应用程序攻击的首要目标服务。
正是由于这些原因,您的组织很可能使用 Microsoft 以外的解决方案来提供您的外部 DNS 服务。 如果是这样,你并不孤单。 今天的大多数组织不使用 Microsoft 来提供他们的外部 DNS 服务。 这是因为:
没有使用 Microsoft DNS 的内在需要。
在考虑容易受到攻击的 DNS 位置时,IT 管理员需要增强的安全功能和增值服务。
简而言之,组织需要为其暴露于 Internet 攻击的外部 DNS 提供最佳解决方案。 市场上有第三方 DNS 解决方案,这些解决方案是从头开始设计和构建的,并牢记安全性。 但事实是,组织的内部 DNS 结构同样容易受到来自下载的恶意软件、网络钓鱼和后门程序的恶意威胁。 此外,对集成的基于 DNS 的流量控制、网络负载平衡和服务监控等附加智能服务的需求为组织增加了巨大的价值。 遗憾的是,许多组织在选择其内部 DNS 解决方案时没有经过太多审查。 (有关 AD 最大问题的更多信息,请参阅 Active Directory 管理的前五个痛点。)
微软神话
对于典型的 Windows 域网络,许多 IT 经理习惯于仅将 Microsoft DNS 服务视为内部解决方案。 很多时候这是因为:
使用内置解决方案很方便。
Active Directory 需要 Microsoft DNS 才能正常运行的神话。
然而,这个神话根本不是真的。 事实上,Microsoft 甚至在几年前发表了一篇知识库文章来解决这个错误的概念。 您可以在此处阅读完整的知识库文章。
Active Directory 必须得到 DNS 的支持才能正常运行,但 Active Directory Services 的实施不需要安装 Microsoft DNS。 BIND DNS 或其他第三方 DNS 将完全支持 Windows 域。 事实上,即使您是第一次创建 AD 林,DC Promo 向导也不需要您选择 DNS。 请注意向导将如何允许您继续 DC 升级过程,尽管没有选择安装 DNS 服务器组件,如下面的屏幕截图所示。
Active Directory 集成 DNS
除了收件箱向导的便利之外,将 Active Directory 集成 DNS 用于您的 DNS 区域还有一些优势。 主要好处是:
AD 复制将自动处理 DNS 区域复制。
所有 DNS 服务器都是可写的。
这减少了配置和分配单独的 DNS 区域传输流量的必要性。 其他好处包括安全更新和 DHCP 集成,但这些功能在第三方解决方案中也可用。
事实上,AD 集成 DNS 是一个选项,但不是必需的。 事实上,即使您当前正在使用 AD 集成 DNS,Microsoft 也为您提供了添加辅助 DNS 或将结构更改为传统 DNS 区域类型之一的选项,如下面的屏幕截图所示:
此内置功能使 Windows DNS 可以与备用 DNS 服务器(如 BIND)集成。 实际上,您可以配置:
您所有的 DNS 服务器都配置了 AD 集成区域
您所有的 DNS 服务器都配置了传统的主要/次要区域
AD 集成区域和辅助区域的混合体
如前所述,AD 集成 DNS 将 DNS 复制集成到现有的 AD 复制基础架构中,无需手动配置复制伙伴。 但是,通过如下所示输入任何辅助 DNS 服务器,可以轻松执行此任务。 请注意,您可以根据 IP 地址分配区域合作伙伴,或者简单地将其限制为所有州名称服务器。
DNS 除了简单的 HOST、CNAME、MX 和 NS 记录外,还支持多种记录。 它还支持各种 SRV 记录。 Windows 域依赖于选择的 SRV 记录来提供 AD 功能,例如网络登录和域加入。 Microsoft Exchange 也依赖于一些相同的记录,例如全局目录记录。 所需的 SRV 记录列表如下所示。
这些必需的记录由 Windows DNS 中的域控制器自动注册,尽管也有支持动态注册的第三方 DNS 解决方案。 然而,即使不受支持,这些记录也很少被修改,因此它们只需要手动配置一次。 (要了解不同类型的 DNS 记录,请参阅 12 DNS 记录说明。)
轻松迁移
即使不习惯手动创建这些记录和区域,或者他们已经拥有现有的 Windows AD 集成 DNS 基础结构,也可以按照以下步骤轻松迁移到第三方 DNS 解决方案:
如果创建新的 Windows 林或域,请选择 Microsoft DNS 功能,以便自动创建所有必需的 SRV 记录。
将第三方 DNS 添加到网络并允许使用它进行区域传输。
如有必要,将您的 AD 集成 DNS 结构转换为标准区域结构。
将新集成的第三方 DNS 指定为主。
从所有域控制器或 Windows 成员服务器上卸载 DNS 服务。
正如我们已经清楚表明的那样,Active Directory 不需要 Microsoft DNS。 那么不利用专门使用 Microsoft DNS 服务器的便利性的动机是什么? 下面列出了当今可用的第三方 DNS 解决方案提供的一些增值功能:
通过定制的 DNS 防火墙安全性,主动自动自适应行为保护免受 DNS 攻击、恶意软件和数据泄露
利用身份映射(将 IP 地址链接到用户)等 Microsoft 内置解决方案无法使用的 DNS 和 DHCP 功能
根据地理位置智能解析查询和引导流量
增加日志记录以帮助确定问题和攻击的来源
为外部和内部 DNS 使用单一解决方案(又名“单一视图”)
与操作系统无关的 DNS 管理方式
通过减少管理员权限的使用来提高安全性
管理过 Windows 域的任何人都知道收件箱日志记录和审计的明显局限性。 试图辨别设备登录了哪个 DC,更不用说它分配的 IP 地址,充其量是有问题且麻烦的。 第三方产品中可用的审计和日志记录级别堪称典范。 想象一下,能够访问一年多前租用 DHCP 地址的设备的详细信息!
Microsoft 一直承认任何兼容的 DNS 解决方案都可以与 Active Directory 一起工作。 简而言之,除了方便之外,没有必要将 Microsoft DNS 与 Active Directory 一起使用,而且事实上它以前总是这样做的,这从来都不是做任何事情的好理由。
