¿Nuevo en Active Domain / Windows DNS, utilizando pfSense resolver para DNS externo y enrutamiento?

Tengo algunas preguntas sobre la configuración de Active Domain con pfSense. Soy bastante nuevo en esto y no he encontrado ninguna publicación que se ocupe específicamente de estas preguntas, y he estado recorriendo durante horas.

Aquí hay un diagrama simple de mi configuración:

máquinas cliente & lt; - & gt; Servidor ADDC / DNS / DHCP para DNS interno & lt; - & gt; reenviado a pfSense para DNS externo (resolución) y división del tráfico a VPN / no VPN en función de la red interna IP & lt; - & gt; Internet

Windows Server 2016 Core, un controlador de dominio de Active Directory, es el servidor DNS de la red local y emite arrendamientos DHCP.

Tengo configurado el DNS de Windows para reenviar solicitudes de DNS a mi firewall pfSense si no puede resolver un nombre (por ejemplo, un DNS externo), que tiene el servicio de resolución de DNS en ejecución.

pfSense ya estaba configurado para dirigir el tráfico de ciertas direcciones IP a Internet con o sin una VPN antes de configurar el cuadro ADDC / DNS / DHCP. La VPN se conecta a través de pfSense mediante OpenVPN y hay diferentes servidores DNS recursivos externos para cada uno (estoy usando PIA y Google DNS, respectivamente).

Después de configurar el servidor de Windows ADDC / DNS / DHCP, lo único que he cambiado en pfSense es apagar el servidor DHCP.

Hasta ahora todo parece funcionar bien, pero como soy nuevo en el uso de Windows Server para redes, esperaba que algunas personas pudieran ayudarme a analizar esta configuración. Aquí están mis preguntas específicas:

1) ¿Es así como se supone que debo configurar esto? ¿Hay algo malo con la forma en que se hace, o hay una mejor manera general de hacerlo?

2) El ADDC / DNS interno solo apunta a sí mismo para las entradas de DNS (por ejemplo, 127.0.0.1). ¿Es esto correcto?

Vi algunos artículos en Technet que dicen que es mejor tener otro DNS al que apuntar. No tengo ningún otro DNS en mi red (a menos que cuente la resolución pfSense). Supuse que esto era una referencia a la conmutación por error o la carga de trabajo compartida (por ejemplo, la regla 80/20) pero no estoy seguro.

3) La red interna se elimina de pfSense - pfSense básicamente se ocupa de cualquier cosa externa y nada más. Pero todavía está llenando algunos roles. ¿Es esta una buena manera de configurar las cosas o existen beneficios al usar Windows para apuntar a DNS externos también?

¿Sería beneficioso configurar un caché de DNS usando Bind o Windows, y usar pfSense solo como un firewall?

Si solo tiene un controlador de dominio, entonces sí, déjelo apuntando a sí mismo como el DNS primario: esta es la práctica recomendada por Microsoft.

Sin embargo, idealmente, para el "DNS externo" debería configurar los reenviadores como se menciona en esta pregunta de ServerFault.com (que es muy similar a su pregunta): https://serverfault.com/questions/601003/how-to-have-your-dns-servers-forward-queries-for-internet-names

Edite las propiedades de su servidor DNS & gt; Pestaña Reenviadores & gt; entrar en la ip   Direcciones de su ISP / servidores DNS externos. Puedes usar pistas de raíz   Si lo prefiere, o si los reenviadores no están disponibles. También deberías   confirme que la pestaña Avanzado & gt; La casilla de desactivación de recursión no está marcada.

Si desea utilizar sugerencias de raíz:

Si la pestaña Sugerencias de la raíz del servidor DNS no está llena, puede volver a ingresar   desde el archivo:% systemroot% \ system32 \ dns \ cache.dns. Tener tu   El servidor DNS resuelve recursivamente las consultas, su servidor DNS no puede alojar   Zona raíz (. punto).