我有一个运行在Debian上的DHCP / DNS(ISC Bind 9.6,DHCP 3.1.1)服务器,我想添加DynamicDNSfunction。 我有一个非常简单的问题:DynamicDNS是否需要(或build议)单独的子域? 我看过一些教程,其中通过DHCP获取IP地址和其他networking信息的客户端与静态configuration的服务器(包括IP和DNS)位于不同的子域。 例如:所有的客户端都在ws.example.org上,而在example.org上的服务器上。
现在我们所有的服务器和客户端都在同一个域(example.org),但分散在不同的区域文件(因为我们有多个子网)。 客户端configuration了DHCP,服务器是静态configuration的。 如果我想为客户端设置DynamicDNS,我应该使用一个单独的子域? 这里最好的做法是什么(为什么或为什么不这样做不是一个坏主意)?
谢谢。
不,技术上不需要为dynamic更新设置单独的区域。
我认为dynamicDNS使用子域的最大因素是与更新区域的安全策略有关。 在我看来,你可以在绑定中设置的权限不是很灵活,虽然新版本更好一些。 使用allow-update (绑定8. *)权限应用于区域级别,而不是每条logging。 因此,客户端a可以更新您的关键服务器的logging,如果他们在哪里使用被授权执行更新的IP地址。
因此,在决定您的dynamicDNSconfiguration时,您必须决定是否让您的工作站能够更改某些关键服务的更新logging是一个好主意。 或者,您是否希望将关键服务分离到一个区域,而不进行dynamic更新,将其他机器分为更dynamic的区域。
dynamicDNS 不需要单独的子域,但是这是设置它的最简单(也是最好的)方法。
如果您将DynamicDNS更新限制为子域(ws.example.org)和子网(两者均不带服务器),则设置限制非常简单,以免发生任何不良情况。 最糟糕的情况是一个工作站被识别为另一个工作站。
如果您在服务器所在的主域中设置DynamicDNS更新,则必须小心设置限制,以使工作站无法dynamic更新自己,例如www.example.org。 自从我看了很长一段时间以来,你可能最终需要为每个服务器(或其他名称保护的设备)使用单独的ACL。 与子网类似的问题。