Windows DNS：有沒有辦法根據子網路劃分網域

我可能誤讀了這篇文章，但似乎每天運行一次或兩次的計劃任務是可行的。

• 讀取 DNS 記錄
• 如果記錄的IP位址符合條件
• 檢查管理位址的安全群組的 ACE 的安全 ACL
• 如果 ACE 不存在，請新增它。

如何存取該區域並執行更新的程式碼範例如下：

http://www.adamtheautomator.com/fix-dynamic-dns-record-permissions-automagically/

該程式碼用於修復孤立的動態 DNS 記錄，但它應該為您指明正確的方向。

您肯定已經注意到，DNS 在管理時並不關心子網路。 DNS 基礎架構中的典型管理單元是一個“區域”，它對應於至少一個網域。因此，如果您想要委派管理任務，您可以將管理委派給整個區域，因此至少是整個網域。

Windows AD DNS 伺服器確實為單一記錄項目提供了一些額外的存取控制和委派功能，即您可以為區域內的每個單一記錄的給定使用者或群組設定「修改」權限，而無需委派整個區域管理。但委派和 ACL 功能均不包含諸如「子網路」之類的內容作為管理單元，如果您需要在 ACE 中反映這一點，則需要在外部修復它們。

話雖這麼說，它可能並不像聽起來那麼糟糕，因為 Windows DNS ACL 也確實具有記錄“創建者”的概念，並且能夠僅委託在區域中創建新記錄，而無需授予權限更改其他區域特定數據或其他記錄。 「創建者」成為記錄的擁有者，並隱式獲得更改其權限的權利，從而間接獲得「完全控制」。此外，如果需要，可以在容器上明確定義建立新記錄時繼承的「CREATOR-OWNER」的 ACE（但無法撤銷更改權限的隱式權利）。所以基本的項目大綱可能如下圖所示：

• 向 AD DNS 團隊請求您所在群組的區域中新記錄的建立權限
• 要求AD DNS團隊委派屬於您群組的資源記錄的修改權限
• 開始自己在 AD DNS 中為您的群組建立和修改資源記錄
• 建議建立一個經常運行的管理腳本，該腳本將檢查您的群組建立的記錄是否符合委派策略（即指向您網域中的主機）
• 重新配置您的Linux DNS 伺服器，以簡單地將查詢轉送到AD DNS 伺服器，或透過從AD DNS 主伺服器之一拉取區域資料來充當輔助伺服器（如果DNS 區域是AD 整合的，則所有AD DNS 伺服器都將充當初選）

我無法談論如何配置 Active Directory 以允許您使用nsupdate.

我什麼能NS告訴您的是，您可以透過對各個記錄使用相互委託來減輕一些麻煩，並且永遠不要為您的團隊不管理的資料定義靜態A或記錄。CNAME

假設您在 Active Directory 中有以下內容：

example.com. SOA dc1.example.com. hostmaster.example.com. 2015022400 28800 7200 604800 300
     IN NS dc1.example.com.
     IN NS dc2.example.com.
     IN MX 10 mail.example.com.
www  IN NS ns1
ftp  IN NS ns1
mail IN  A 198.18.0.10

dc1  IN  A 198.18.0.150
ns1  IN  A 198.18.0.250

• mail、ns1、 和dc1是靜態定義的記錄。
• www並ftp已委託給ns1.example.com.，我們可以說它是一個權威的 Linux DNS 伺服器。
• 由於 DC 通常充當混合 DNS 伺服器角色（遞歸和權威），因此對www和 的請求ftp將觸發遞歸並導致ns1.example.com諮詢答案。如果有防火牆允許來自 DC 的流量到達ns1，則此操作將會成功。

這仍然是一個痛苦：您無法逃避在遠端伺服器上定義記錄的需要。你什麼是實現的是個人記錄的所有權。如果其中一筆記錄的 IP 位址需要更改，則不必在柵欄兩側都進行此更改。這將會起作用，至少直到有人想要sub.ftp.example.com在 DC 上定義為止。既然ftp已經委託了，sub.ftp也已經委託了，本地就沒辦法管理了。