Обычно рекомендуется разделить службы DNS организации, при этом некоторые аспекты этой службы размещаются во внутренней сети или объединенной сети, а другие аспекты — по крайней мере в одной подсети DMZ.
Используя топологические диаграммы в качестве иллюстрации, объясните эту передовую практику и ее преимущество перед службой DNS с одним хостом. (Лучшим ответом будет разделить службы DNS на 3 отдельных хоста.)
решение1
Это сформулировано как задание. Я пропущу схему топологии и опишу типичную разделенную службу (которая может работать на одном сервере). У вас должно быть как минимум два сервера для вашего DNS-сервера в Интернете, однако только один будет главным. Такие программы, как , bindмогут предоставлять разделенные службы, но некоторые программы требуют запуска двух отдельных серверов.
Ваш внешний (Интернет) сервер/сервис:
- НЕ следует предоставлять услуги кэширования DNS для других доменов;
- следует обеспечивать передачу зон только на подчиненные DNS-серверы вашего домена;
- необходимо предоставить данные для доменов, которые вы хотите сделать публичными; и
- следует предоставлять данные только по тем доменам, которые вы хотите сделать общедоступными.
Ваш внутренний (интранет) сервер/сервис:
- необходимо предоставить кэширующий DNS-сервис для ваших внутренних серверов;
- необходимо обеспечить переадресацию DNS на внутренние серверы;
- может обеспечивать передачу зон на любой внутренний сервер; и
- необходимо предоставить записи DNS для всех доменов, которые должны быть видны изнутри, используя доступные внутри IP-адреса.
Для публично опубликованных доменов обычно используются разные IP-адреса для внешнего и внутреннего доступа.