Case Study Хибриден DNS сървър за компютри в домейн контролер

Хибриден DNS сървър за компютри в домейн контролер

Увод

Поради спецификата на работата си, Хай Тийм се справя ежедневно със заплетени ситуации в следствие на смесица от различен хардуер и системи, които са били използвани през годините от клиентите. Основна цел ни е да накараме тези системи да комуникират безпроблемно и в синхрон. 

При наш голям клиент се появи проблем с ежедневно прекъсване на интернет достъп за по няколко минути, по един – два пъти на ден в отдалечена офис локация с компютри, които са в домейн и достъпват трета локация в Cloud. Цялата тази система е обрисувана в схемата по-долу:

Locations scheme

Предизвикателство

Обикновено такава конфигурация е добре да се маршрутизира през основната, но поради ненадеждния интернет на отдалечената локация, при отпадане на VPN, интернет достъпът отпада. Затова пред нас стои предизвикателството да направим така, че заявките към домейн DNS да работят и в същото време при честото отпадане на site to site VPN-а да бъде запазен достъпът до интернет на клиента. 

Наложи се да не се маршрутизира целия DNS трафик и да бъде добавен втори DNS за мрежата (публичен). Тук обаче се натъкваме на нов проблем – DNS работи с roundrobin алгоритъм и не може компютрите да приоритизират кой DNS да бъде основен и кой не. Решение за това можеше да бъде Windows DNS сървър с conditional forwarding на отдалечената локация, но за такова нещо се изисква Windows Server.

Решението

Намерихме елегантно решение с DNS Server на Synology NAS, който фирмата имаше закупен. Самите заявки касаещи отдалечения домейн бяха стриктно ограничени към само единия DNS и така вече всичко работи безупречно. 

Подобно решение може да бъде и PiHole, който може да бъде инсталиран на физическа, виртуална  машина или дори на docker контейнер. 

Резултат

С внедряването на решението ограничихме прекъсванията, които спираха нормалния процес на работа и бяха дразнещи за потребителите. Сега клиентът има стабилен достъп до интернет при прекъсване на site-to-site VPN-a  и същевременно достъп до ресурсите на компанията. 

Публикувано на 22.12.2022 г.

Още от нашия блог