This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[SOLVED]DNS best practice?

There are two ways to configure DNS:

One way:
- Allowing DNS outgoing for your internal nameservers
- internal nameservers forwarding to ISP-DNS
- ASG pointing to internal nameservers 

Another way:
- ASG forwarding to ISP-nameservers
- "request routing" on ASG for internal domain pointing to internal nameservers
- internal nameservers forwarding to ASG
 
Which way do you use? And why? Which is "officially preferred"?
Both configurations seem working good for me, we run the first alternative on our cluster, the second in branch offices without internal dns (domain dns reachable via site2site-vpn).

Thanks for your ideas!
Thomas



BAlfson's DNS Best Practice's post has been moved to it's own highlighted thread here: https://community.sophos.com/utm-firewall/f/recommended-reads/122972/dns-best-practice
[edited by: FloSupport at 11:12 AM (GMT -7) on 18 Sep 2020]
Parents
  • Mark's method of DNS.
    Method 1. (For installations with Servers with Internal DNS Servers)

    All pc's and devices. Primary DNS = Internal DNS Server/s. Secondary (depends on size of organisation if large secondary Internal DNS Server) otherwise I add the UTM as last.

    Internal DNS Server. Has no root DNS look ups. Has cache and clean up enabled. Is Forward to UTM.

    UTM. Has Availability Groups to ISP DNS Forwarders and other Open Forwarders (Open DNS, Google or what you see fit). This is if your local ISP Forwarders goes down the AV Group will have a DNS forwarder to use. I use separate AV Groups for IPv4 and IPv6 (up to you).
    Also as above I add the Request route in for local zones back to Internal DNS and Reverse Lookup.

    Method Two. (For Installations without Internal DNS Servers)

    Leave out Internal DNS Server settings.

    Make UTM Primary source for all lookups.

    Mark
Reply
  • Mark's method of DNS.
    Method 1. (For installations with Servers with Internal DNS Servers)

    All pc's and devices. Primary DNS = Internal DNS Server/s. Secondary (depends on size of organisation if large secondary Internal DNS Server) otherwise I add the UTM as last.

    Internal DNS Server. Has no root DNS look ups. Has cache and clean up enabled. Is Forward to UTM.

    UTM. Has Availability Groups to ISP DNS Forwarders and other Open Forwarders (Open DNS, Google or what you see fit). This is if your local ISP Forwarders goes down the AV Group will have a DNS forwarder to use. I use separate AV Groups for IPv4 and IPv6 (up to you).
    Also as above I add the Request route in for local zones back to Internal DNS and Reverse Lookup.

    Method Two. (For Installations without Internal DNS Servers)

    Leave out Internal DNS Server settings.

    Make UTM Primary source for all lookups.

    Mark
Children
  • In these examples where you guys are pointing to your internal DNS and it happens to be a windows server dc (server 2012 adds role +dns role)  do you guys disable recursive requests or ??  in other words is the first box under the advanced tab of your domain zone checked or unchecked?