Re: R: Server DNS in LAN o DMZ

On Mon, 2004-03-29 at 11:04, jack wrote:

> Sono d'accordo, ma c'e' una cosa in cui e' meglio far chiarezza. Si
> parlava di un PDC. E'un PDC w2k ? Esiste quindi un dominio MS ? 
> ( effettivamente faccio delle supposizioni non avendo molte info ) se
> fosse cosi' quindi potrebbe essere in piedi AD, e allora Alessandro
> scordati di togliere il DNS per la LAN interna. Il sistema per la
> risoluzione nomi  microsoft, tratta dei record particolari SRV che
> servono alle workstation per rintracciare server dedicati ( es. i DC ). 
> 
> AD richiede il DNS ( il classico dominio MS ), ti posso dire inoltre che
> se le zone DNS sono integrate con AD, stendere il servizio DNS, sarebbe
> follia...

No, si può tranquillamente sostituire il pessimo servizio di DNS di MS
con un altro server anche non collegato ad AD, con 2 accorgimenti:
1. replicare le zone SRV necessarie a trovare il DC e i suoi servizi,
impostare il tutto per non aggiornare le zone DNS da parte dei client (o
semplicemente fissare l'ip dei client inserendo un record per ognuno nel
DNS e semplicemente ignorare le richieste di update.

Certo non è come se MS avesse evitato di fare un tale integrazione
obbligatoria, cosa quanto mai dannosa vista la praticamente totale
assenza di competenze sulla gestione dei DNS e il relativo danno che se
ne riscontra giornalmente, ma comunque fattibile con soddisfazione e
qualche limitazione di poco conto per la maggiorparte delle realtà
aziendali.

Insomma si può anche mettere un solo server DNS in DMZ senza doverci
spostare un Domain Controller.

Simo.

-- 
Simo Sorce - simo.sorce@xxxxxxx
Xsec s.r.l. - http://www.xsec.it
via Garofalo, 39 - 20133 - Milano
mobile: +39 329 328 7702
tel. +39 02 2953 4143 - fax: +39 02 700 442 399

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List