我们在10个不同的国家有10个域名,我们要设置一些集中的DNSpipe理。 基本上我们有这个devise(所有服务器都是RHEL,绑定为DNS):
有一个主DNS服务器隐藏,不能从互联网访问,其中包含所有这些领域的区域文件,以便我们可以改变一个地方的一切。 在这些区域分别从主服务器复制到的每个国家都有从属DNS服务器。
正如我所看到的,这个devise的怪异部分是,只有从属服务器将在DMZ中,并可以从互联网访问,只有它们是权威性的,每个这样的域有NSlogging。
这有什么意义吗? 是否有可能有一个不认为具有权威性的域的主服务器,因为它本身没有NSlogging? (没有意义的NSlogging服务器,这是不可见的互联网我猜)。
从我的经验来看,你的devise没有任何问题,除了你只使用一个主设备 – 你需要有一些冗余。 通过两台或三台隐藏的主设备(始终保持同步),即使一台或两台主设备出现故障,从属服务器也可以刷新其区域。
许多大型组织实际上不想公开他们的DNS服务器,因为他们不想处理DDOSing和全局可用性等问题。他们最终做的是使用第三方DNS提供程序(如Dyn或UltraDNS)来公开NSlogging为他们的域,这些NSlogging是来自第三方的从属名称服务器。 在内部,组织将保留自己的隐藏的主服务器,在内部对这些服务器进行dns更改,然后让DNS服务提供商的从服务器获取最新的更改。 任何外部用户请求都会转到由第三方pipe理的从属名称服务器。
这是完全有效的解决scheme,一些ilustrations和例子在这里