CentOS7.3 SambaとBindの名前解決棲み分け

シェアする

現行環境では、名前解決をする際、Bindサーバが管理していますが、Samba(DC)サーバの導入に合わせて、自宅内は、Samba-DNSサーバにて管理を行ない、自宅外にあるものは、「DNS Forwader」機能により、Bind-DNSを経由するようにします。

現行環境(SAMBAサーバなし)

現行環境では、名前解決をする際、Bindサーバにて解決を行ない、名前が見つからない場合は、契約しているプロバイダーのネームサーバへ問合せするようにしていました。

下記に、簡単な概要図を記載します。

・自宅内(ドメイン内)のサーバへアクセスする場合

自宅内のBINDサーバへ問い合わせがされ応答を返します。

old_dns_inside

・自宅外(ドメイン外)のサーバへアクセスする場合

自宅内のBINDサーバへ問合せをしますが、自宅外にあるサーバの情報を持っていないため、契約しているプロバイダーにフォワーディングし、その応答を返します。

old_dns_outside

新規環境(SAMBAサーバあり)

SAMBAサーバを「SAMBA_INTERNAL」で構築を行ない、自宅内の名前解決は基本的にSAMBAサーバで完結できるようにします。SAMBAサーバが情報を持っていない場合は、直接、プロバイダーへ問い合わせをさせずに、一旦、既存のBindサーバへフォワーディングしたあとに、Bindサーバにも情報がなければ、契約しているプロバイダーへ問い合わせを行なうようにします。

・自宅内(ドメイン内)のサーバへアクセスする場合

自宅内のSAMBAサーバにあるDNSへ問い合わせがされ、その応答を返します。

new_dns_inside

・自宅外(ドメイン外)のサーバへアクセスする場合

自宅内のSAMBAサーバにあるDNSへ問い合わせがされますが、自宅外にあるサーバの情報を持っていないため、一旦、既存のBINDサーバへフォワーディングされます。
自宅内のBINDサーバにも情報がない場合、契約しているプロバイダーへフォワーディングされ、その応答を返します。

new_dns_outside

これにより、SAMBAサーバが直接、外部への接続がなくなるので、セキュリティ的にも良いのでは?と思っています。

BINDサーバだと、小回りが効くし。