我有一個在 Debian 上運行的功能正常的 DHCP/DNS(ISC Bind 9.6、DHCP 3.1.1)伺服器,我想在其中添加 DynamicDNS 功能。我有一個非常簡單的問題:DynamicDNS 是否需要(或建議)單獨的子網域?我看過一些教程,其中透過 DHCP 獲取 IP 位址和其他網路資訊的用戶端與靜態配置的伺服器(在 IP 和 DNS 方面)位於不同的子網域上。例如:所有用戶端都位於 ws.example.org 上,伺服器位於 example.org 上。
現在,我們所有的伺服器和客戶端都位於同一網域(example.org)中,但分佈在不同的區域檔案中(因為我們有多個子網路)。用戶端配置有 DHCP,伺服器配置為靜態。如果我想為客戶端設定 DynamicDNS,我應該使用單獨的子網域嗎?這裡的最佳實踐是什麼(以及為什麼或為什麼不這樣做是一個壞主意)?
謝謝。
答案1
不,從技術上講,不需要有一個單獨的區域來進行動態更新。
我認為使用子網域進行動態 DNS 的最大因素與更新區域的安全性原則有關。在我看來,您可以在綁定中設定的權限不是很靈活,儘管較新的版本更好一些。 ( Bind allow-update8.*) 權限套用於區域級別,而不是針對每個記錄。因此,如果用戶端 A 使用被授權執行更新的 IP 位址,則他們可以更新關鍵伺服器的記錄。
因此,在決定動態 DNS 配置時,您必須確定讓您的工作站能夠變更某些關鍵服務的更新記錄是否是個好主意。或者您是否希望將關鍵服務分離到一個沒有動態更新的區域中,並將其他電腦分離到更動態的區域。
答案2
動態 DNS 沒有需要一個單獨的子網域,但這是設定它的最簡單(也是最好)的方法。
如果將 DynamicDNS 更新限制為子網域 (ws.example.org) 和子網路(兩者都沒有伺服器),則設定限制相當簡單,這樣就不會發生太糟糕的情況。最壞的情況是一個工作站被識別為另一個工作站。
如果您在與伺服器所在的相同主網域中設定動態 DNS 更新,則必須小心設定限制,以便工作站無法動態更新自己,例如 www.example.org。我已經很久沒有查看它了,但您最終可能需要為每個伺服器(或您想要保護名稱的其他設備)提供單獨的 ACL。子網路也有類似的問題。