Debian で稼働している DHCP/DNS (ISC Bind 9.6、DHCP 3.1.1) サーバーがあり、これに DynamicDNS 機能を追加したいと考えています。とても簡単な質問があります。DynamicDNS には別のサブドメインが必要ですか (または推奨されますか)? DHCP 経由で IP アドレスやその他のネットワーク情報を取得しているクライアントが、静的に構成されているサーバー (IP と DNS の両方) とは異なるサブドメインにあるというチュートリアルをいくつか見ました。たとえば、すべてのクライアントは ws.example.org にあり、サーバーは example.org にあります。
現在、すべてのサーバーとクライアントは同じドメイン (example.org) にありますが、異なるゾーン ファイルに分散しています (サブネットが複数あるため)。クライアントは DHCP で構成され、サーバーは静的に構成されています。クライアントに DynamicDNS を設定する場合、別のサブドメインを使用する必要がありますか? この場合のベスト プラクティスは何ですか (また、そうしないことがなぜ悪い考えなのか、またはそうでないのか)?
ありがとう。
答え1
いいえ、動的更新用に別のゾーンを用意することは技術的には必要ありません。
ダイナミック DNS にサブドメインを使用する最大の要因は、ゾーンを更新するためのセキュリティ ポリシーに関係していると思います。私の意見では、bind で設定できるアクセス許可はあまり柔軟ではありませんが、新しいバージョンでは多少改善されています。allow-update(Bind 8.*) では、アクセス許可はレコードごとではなく、ゾーン レベルで適用されます。そのため、クライアント A は、更新の実行が許可されている IP アドレスを使用している場合、重要なサーバーのレコードを更新できます。
したがって、ダイナミック DNS 構成を決定する際には、ワークステーションが重要なサービスの更新レコードを変更できるようにするのが良い考えかどうかを決定する必要があります。または、重要なサービスを動的更新のない 1 つのゾーンに分離し、他のマシンをより動的なゾーンに分離するかどうかを決定します。
答え2
ダイナミックDNSは必要別のサブドメインを作成することもできますが、これが最も簡単な (そして最適な) 設定方法です。
DynamicDNS の更新をサブドメイン (ws.example.org) とサブネット (どちらもサーバーなし) に制限すると、問題が起きないように制限を設定するのは非常に簡単です。最悪の場合、1 つのワークステーションが別のワークステーションとして識別されることになります。
サーバーが存在するのと同じメイン ドメインで DynamicDNS 更新を設定する場合、ワークステーションが www.example.org などに動的に更新されないように、制限を設定するように注意する必要があります。私が調べたのは随分前のことですが、サーバー (または名前を保護したいその他のデバイス) ごとに個別の ACL が必要になる可能性があります。サブネットでも同様の問題があります。