服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 关于IPv6上DNS的决定
Intereting Posts
后缀(邮件被拒绝:地址列入黑名单) 强制延迟在Apache响应时间 内部IP(TC)的速率限制stream量 为什么在添加www时nslookup的结果不一样? 如何使用AD / GPO /打印服务“推出”新的打印机驱动程序来replace损坏的打印机驱动程序? 我的服务器是如何得到一个坏的司机? 每个用户脚本的Unix配额 可以添加一个路由到一台机器,从外面到达? 什么可以把linux进程pipe理连接池到坏的状态,所以它不断重启呢? 我怎样才能configuration一个家庭代理服务器只有路由器? 什么时候IIS 6.0应用程序池崩溃与内存问题? XenServer 5.6上存在重复密钥错误 导入使用import-Csv的pcs列表并使用powershell脚本更改属性 在域中的所有Windows客户端上强制双面打印的方法 IIS 7 .NET全球化设置 Apache,suPHP,CentOS。 内存限制被gd命中,但内存限制被设置得比死的时候高得多

关于IPv6上DNS的决定

我们正在推出IPv6,并且正在考虑我们的DNS策略。 这不是一个技术问题 – 这更像是一个“最佳实践”的问题。

我们内部有Active Directory,域控制器处理我们的“内部”区域的权威DNS(例如, domain.local16.172.in-addr.arpa )以及所有用户的recursion。 我们有大约1200个用户,因此这5个域控制器可以轻松处理DNSrecursion,只需转发到思科Umbrella DNS即可查看他们不具有权威性的区域。 我们严重依赖于dynamicDNS,对于内部主机的A和PTRlogging。 对于我们的公共区域,我们使用DNS Made Easy 。

现在我们正在研究IPv6,我们希望在内部保持使用dynamicDNS的能力,无论是AAAA还是PTRlogging。 由于在IPv6中不需要NAT,所以给定的主机将在内部具有与在外部相同的地址。 为ip6.arpa区域(内部和外部区域)维护两个单独的数据库还应该做什么? 另一种方法是在我的防火墙中添加一条规则,允许公共DNS服务器成为ip6.arpa区域的辅助服务器。 我并不是在谈论允许互联网直接查询我的数据中心,而是让DNS Made Easy转移代理保留一份副本。

这样做“放弃”我所有的内部DNS条目,但这真的太可怕了吗?

当我input这个内容时,我认为最好是维护两个数据库 – 一个内部数据库和一个外部数据库,就像我以前一直所做的那样。 社区有什么想法?

这是一个没有真正正确答案的最佳实践问题,但是这些问题是我会问自己为我find答案的。

这样做“放弃”我所有的内部DNS条目,但这真的太可怕了吗?

如果你的老板不认为这是可怕的,你不认为这是可怕的,那么你有你的答案。 IPv6比IPv4爬行要花费更多的时间,但仍然可以爬行。 如果您不关心2001:db8 :: 1的DNS查找是否会生成YourFinancialServer.Example.co m,并且您的pipe理链中也没有人关心,则可以使用面向DNS的边缘pipe理所有IPv6反向DNS权威,并称之为一天。

为ip6.arpa区域(内部和外部区域)维护两个单独的数据库还应该做什么?

这是由上一个问题决定的。 如果这是应该做的,下一步是确定你的私人路由networking的逻辑分离。

  • 在一个理想的世界中,你的networking团队已经清楚地划分出了不可互联网路由的IPv6空间段,你可以使用这些段来推动devise,分解如何在权威服务器之间分割反向DNS。 您可以在面向内部的recursion服务器上设置转发器,将私有路由V6空间的反向请求引导至您的内部权限,并让recursion将其余请求正常发送至您的面向互联网的权限。
  • 在一个不太理想的世界里,你的IPv6空间处于devisestream通状态,没有明确的公私分工规则。 在最坏的情况下,你的地址在公共和私有之间被防火墙分割,而不会被划分成干净利落的networking。 这使得recursion服务器的转发规则很难(几乎不可能)pipe理,并且您可能必须pipe理公共和私有之间相同权威区域的两个完全不同的版本。 如果您的设备已经停用,那么在没有自动清理的情况下删除logging会非常快速地变得不一致。