我们有一个域名,例如example.com 。 我们为权威服务器使用基于云的提供者。 我们有一些客户拥有一个IPSec隧道,我们需要给我们一些内部logging。 为此,我们有一些“半公开”名称服务器,它们为某些logging提供了不同的IP地址,但是如果这些logging没有在这些“半公开”的服务器上定义,则需要将响应转发给“真实”权威服务器。 我们不想在我们的“半公开”名称服务器中复制每个logging(大约有1000个)。
我们目前正在使用Cisco IOS(是的,IOS路由器具有名称服务器function)和视图来实现这一点。 它工作正常,但有点片状和TTL总是10秒无法改变它 。 这也意味着只有networking工程师而不是服务器pipe理员才有独占访问权(政治吸引力)。
我使用RPZ(响应策略区域)在BIND实验室中工作。 然而,不幸的是,答复从来没有权威的标志。 我很紧张,这会给一些解决scheme带来问题。 我可以跳过BIND的RPZ特性,只是为每个logging创build一个单独的区域,但这不会很有趣,因为谁想要维持约100个BIND区域,只是每个区域都有一个logging?
dnsmasq会为此工作,我相信,因为它设置了权威的标志。 但不幸的是,我被限制在Windows Server 2012 R2上运行的东西。
所以我问如果有人知道Windows解决scheme(我认为BIND是因为我可以安装在Windows上,它运行良好),将提供一个区域内的查询权威性的答案,但如果一个特定的logging不是界定? 也许我错过了如何在BIND中做到这一点,也许还有另一种解决scheme(例如,Unbound)。
我发现Unbound符合configuration指令local-data所有条件。 它甚至涵盖像SRVlogging等(我需要)。 即使是一个简单的Windowspipe理员也可以轻松更新configuration文件。 我是一个粉丝。