Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 2011 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS best practice, still valid??

jim82
Dear community,

Looking at this post -> https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/33262 by "William".

I'm just curious if this is the best way of doing it? Or should I stick with the "DNS best practices" sticky thread.

I have 2 x AD DNS + DHCP servers and I'm wondering which approach to take?

Any suggestions?

Thanks
Jim


This thread was automatically locked due to age.
Parents
  • 0
    Jim, William and I rarely disagree, but we do on this, and I disagree with the Help text.  I think that DNS requests should be:

    Client PC -> AD/DNS/DHCP Server -> UTM -> Google/OpenDNS.


    That is to say, if the client needs a lookup, it goes first to the AD/DNS/DHCP Server, if that device doesn't answer, the client asks the UTM, if the UTM is down and there's just a straight path to the internet, the client asks Google/OpenDNS.  Similarly, if the AD/DNS/DHCP server needs a lookup, it goes first to the UTM, if the UTM is down and there's just a straight path to the internet, the client asks Google/OpenDNS.  Finally if the UTM needs a lookup, it goes to Google/OpenDNS.

    The idea is to maximize robustness and the chances of any needed lookup having been done recently by another, local device.  In the case of two internal DNS servers, there's a good chance the required lookups sent to the UTM will overlap and provide faster name resolution to the PC client that requested a lookup from a DNS server.

    Because of the issues described in Accessing Internal or DMZ Webserver from Internal Network, many organizations run "Split DNS" with a Forward Lookup Zone for their public domain as well as for their internal domain.  Both are handled with Request Routes.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Jim, William and I rarely disagree, but we do on this, and I disagree with the Help text.  I think that DNS requests should be:

    Client PC -> AD/DNS/DHCP Server -> UTM -> Google/OpenDNS.


    That is to say, if the client needs a lookup, it goes first to the AD/DNS/DHCP Server, if that device doesn't answer, the client asks the UTM, if the UTM is down and there's just a straight path to the internet, the client asks Google/OpenDNS.  Similarly, if the AD/DNS/DHCP server needs a lookup, it goes first to the UTM, if the UTM is down and there's just a straight path to the internet, the client asks Google/OpenDNS.  Finally if the UTM needs a lookup, it goes to Google/OpenDNS.

    The idea is to maximize robustness and the chances of any needed lookup having been done recently by another, local device.  In the case of two internal DNS servers, there's a good chance the required lookups sent to the UTM will overlap and provide faster name resolution to the PC client that requested a lookup from a DNS server.

    Because of the issues described in Accessing Internal or DMZ Webserver from Internal Network, many organizations run "Split DNS" with a Forward Lookup Zone for their public domain as well as for their internal domain.  Both are handled with Request Routes.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?