저는 Debian에서 실행 중인 DHCP/DNS(ISC Bind 9.6, DHCP 3.1.1) 서버에 DynamicDNS 기능을 추가하고 싶습니다. 매우 간단한 질문이 있습니다. DynamicDNS에는 별도의 하위 도메인이 필요합니까(또는 권장됩니까)? DHCP를 통해 IP 주소 및 기타 네트워킹 정보를 획득하는 클라이언트가 정적으로 구성된 서버(IP 및 DNS 측면에서 모두)와 다른 하위 도메인에 있는 몇 가지 자습서를 보았습니다. 예: 모든 클라이언트는 ws.example.org에 있고 서버는 example.org에 있습니다.
현재 모든 서버와 클라이언트는 동일한 도메인(example.org)에 있지만 여러 개의 서브넷이 있기 때문에 서로 다른 영역 파일에 분산되어 있습니다. 클라이언트는 DHCP로 구성되고 서버는 정적으로 구성됩니다. 클라이언트에 대해 DynamicDNS를 설정하려면 별도의 하위 도메인을 사용해야 합니까? 여기서 가장 좋은 방법은 무엇입니까? 그렇지 않은 경우에는 왜 나쁜 생각이 될까요?
감사해요.
답변1
아니요. 기술적으로 동적 업데이트를 위한 별도의 영역이 필요하지 않습니다.
동적 DNS에 하위 도메인을 사용하는 가장 큰 요인은 영역 업데이트를 위한 보안 정책과 관련이 있다고 생각합니다. 제 생각에는 바인드에서 설정할 수 있는 권한은 그다지 유연하지 않지만 최신 버전이 다소 더 좋습니다. (바인드 8.*) 사용 권한 은 allow-update
레코드별이 아닌 영역 수준에서 적용됩니다. 따라서 클라이언트 A는 업데이트 수행 권한이 부여된 IP 주소를 사용하는 경우 중요한 서버에 대한 기록을 업데이트할 수 있습니다.
따라서 동적 DNS 구성을 결정할 때 워크스테이션이 일부 중요한 서비스에 대한 업데이트 레코드를 변경할 수 있도록 허용하는 것이 좋은 생각인지 결정해야 합니다. 아니면 중요한 서비스를 동적 업데이트 없이 하나의 영역으로 분리하고 다른 시스템을 보다 동적인 영역으로 분리하고 싶습니까?
답변2
동적 DNS는 그렇지 않습니다.필요별도의 하위 도메인을 설정하는 것이 가장 쉽고 가장 좋은 방법입니다.
DynamicDNS 업데이트를 하위 도메인(ws.example.org) 및 서브넷(둘 다 서버 없음)으로 제한하는 경우 너무 나쁜 일이 발생하지 않도록 제한을 설정하는 것은 매우 간단합니다. 문제가 발생하는 최악의 경우는 한 워크스테이션이 다른 워크스테이션으로 식별되는 것입니다.
서버가 있는 동일한 기본 도메인에 DynamicDNS 업데이트를 설정하는 경우 워크스테이션이 www.example.org와 같이 동적으로 스스로 업데이트할 수 없도록 제한을 설정하도록 주의해야 합니다. 살펴본 지 오랜 시간이 지났지만 결국에는 각 서버(또는 이름을 보호하려는 다른 장치)마다 별도의 ACL이 필요할 수도 있습니다. 서브넷과 비슷한 문제가 있습니다.