web-dev-qa-db-ja.com

Windows Server 2008 R2:インターネットアクセスフィルタリング関連の問題

私の現在のWindowsWorkplace Networkでは、インターネットへのアクセスを制限するユーザーと、インターネットへのフルアクセスを許可するユーザーが必要です。

そこで、OPENDNSを使用しました。これは、最もシンプルでありながら費用対効果の高いオプションであることが判明したためです(無料のように!)そこで、これらのユーザーに制限付きアカウントと、ファイルやビデオの共有などの制限付きサイトグループを付与しました。ソーシャルネットワーキング、アダルトサイトなどをOPENDNSコントロールパネルで表示し、それらのユーザーのDNS設定をOPENDNSにポイントします。

ここで、このネットワークをWindows Server 2008 R2環境にアップグレードすることにしました。これは、明らかに管理を改善し、ファイルサーバーで一元化されたファイルストレージとアクセス制限を利用するためです。一部のコンピューターでOPENDNSを使用したいので、再び行き詰まります。サーバーが制限を継続するのが最も簡単な方法のようです。ただし、ネットワーク上のすべてのコンピューターをドメインに追加すると、これらのユーザーはサーバーのDNSを使用する必要があり、その結果、インターネットへのフルアクセスが可能になります。また、この最新の環境では、一部のユーザーにインターネットアクセスをまったく許可する必要はありません(少なくとも当面は)。誰かがここで私を助けてくれますか?

2
Reuben

DNSは実際にはアクセス制御には機能しません。ユーザーがIPアドレスでサイト(プロキシサイトを含む)にアクセスできることに気付くとすぐに、それはすべて終わります。

無料のコミュニティWebフィルタリングプラットフォームをお探しの場合は、 ntangle を検討してください。

1
Skyhawk

DNSはインターネットアクセス制御を目的としたものではありません。そのためにはファイアウォールまたはプロキシサーバーを使用する必要があります。

ドメイン環境をセットアップする場合、ドメインDNSサーバー(通常はドメイン)を使用するためにallドメインコンピューターが非常に明確に必要です。コントローラー); 「非常に明確な必要性」とは、「これを行うと、すべてが奇妙に動作し始めたり、まったく機能しなくなったりする」ことを意味します。

could ISPのDNSサーバーを使用したり、外部名自体を検索したりする代わりに、ドメインDNSサーバーにOpenDNSをフォワーダーとして使用させる。ただし、この方法では、すべてのDNSクエリがDCからOpenDNSに送信され、何もフィルタリングできなくなります。逆も機能しません。あなたcouldユーザーにOpenDNSを使用させてから、内部ADドメインのクエリをドメインコントローラーに転送し、インターネットクエリ自体を解決するようにします...しかしWindowsクライアントは、名前解決のためだけでなく、内部DNSゾーンに自分自身を登録するためにも、ドメインDNSサーバーと直接通信する必要があります。

プロキシまたはファイアウォールソリューションを必ず検討する必要があります。 DNSはこのために作成されただけではありません。

1
Massimo

確かに、単純なインターネットアクセス制御の場合、DNSは非常に原始的な形で使用できます。DNSの仕組みや構成の回避方法がわからない場合は、包括的な制御が必要です。解決。 DNSは、意図した用途を目的としたものではありません。そのため、DNSは、ニーズに合わせて非常に堅牢で、スケーラブルで、信頼性が高く、絶対確実なソリューションではありません。

私の提案は、 Microsoft のソリューション、または必要なことを実行する製品を提供している数え切れないほどのベンダーのいずれかを検討することです。

1
joeqwerty

ドメインマシンは、グループポリシーで他の方法で構成していない場合にのみ、ドメインのDNSサーバーを使用します。使用しているポリシーに従って、さまざまなOUにコンピューターをグループ化します。次に、DNS設定を明示的に設定する各OUのグループポリシーオブジェクトを作成します。あなたはここでそれらを見つけることができます:

Administrative Templates\Network\DNS Client

しかし、joeqwertyが述べたように、これは技術に精通した人々が必要な場所にたどり着くのを妨げるものではありません。

0
Ryan Bolger