典型的 DNS 设计是否有名称（如果有，最常见的是什么）？

Question 1

其中一种最常见的“类型”是“水平分割'，或者简称为‘拆分’DNS。

DNS 服务器根据查询来源给出不同的结果。它更常用于人员分布广泛的组织（“本地”主机、WAN 主机或 Internet 主机），所有这些主机都可能受益于重定向到同一服务器的不同副本，或同一服务器，但一些服务器被赋予内部地址，一些被赋予外部（通常是 NATted）地址。

Answer

其中一种最常见的“类型”是“水平分割'，或者简称为‘拆分’DNS。

DNS 服务器根据查询来源给出不同的结果。它更常用于人员分布广泛的组织（“本地”主机、WAN 主机或 Internet 主机），所有这些主机都可能受益于重定向到同一服务器的不同副本，或同一服务器，但一些服务器被赋予内部地址，一些被赋予外部（通常是 NATted）地址。

Question 2

未上市的主要（又称影子主服务器、未列出/影子主服务器）是严格安全的内联网中常见的配置。简而言之，这是在父域中没有 NS 记录的主服务器。换句话说，没有委派的主服务器。委派应该指向一个或多个奴隶服务器。

场景：您的 ACME 公司拥有内部网和主 DNS 服务器，大多数客户都会使用。它托管“intranet.acme.com”区域。现在，您正在设置一个严格安全的子网，其中包含单独的 DNS 服务器和域“finances.intranet.acme.com”。

您希望整个组织能够查询 DNS 记录。
您不希望整个组织的网络流量都流向您的 DNS 服务器。
您希望成为唯一更改 DNS 记录的人。

解决方案：不要将您的服务器指定为“finances.intranet.acme.com”的 NS。只要您可以说服管理员将“finances.intranet.acme.com”托管为从属服务器，就可以指定其他服务器作为 NS。（组织的主 DNS 服务器会将子域委托给您，令人惊讶的是，它恰好是此类从属服务器的不错选择。）您宝贵的本地服务器现在在 DNS 层次结构中几乎不可见。它只会向从属服务器提供区域传输，并（可选）回答您选择的一组客户端的查询。

注意：在 SOA 记录中指定哪个服务器由您决定。它可能是您的“未列出”服务器，因为 SOA 记录不用于遍历 DNS 层次结构。

类似地，你也可以创建未列出的奴隶服务器 - 域的从属服务器，未列在域的 NS 记录中。同样，此服务器将仅接收来自知道 IP 地址的客户端的流量，因为无法从任何其他 DNS 服务器获取其地址。它将像任何其他从属服务器一样回答查询：权威且快速（即仅使用本地磁盘文件）。

另一种方案，与上面的“未列出服务器”概念有些不兼容，但值得了解。dnscache 和 tinydns 的作者建议将 DNS 服务器严格分为两种类型：

DNS 缓存（又名仅递归服务器，但我觉得这是一个错误的说法） - 没有权威数据的服务器，但代表客户端执行递归和迭代查询；它缓存答案；
仅权威服务器（又名非递归服务器) - 仅回答有关其权威数据的查询，但不代表任何人执行递归或迭代查询的服务器。此服务器不需要实现缓存，因为它永远不需要非权威地回答。此服务器对于普通客户端毫无用处，因为他们需要完全（递归地）回答他们的问题。应该查询它的“客户端”是其他 DNS 服务器 - 更准确地说：DNS 缓存。

从安全角度来看，DNS 缓存总是很容易受到毒药（虚假 DNS 记录）和其他类型的攻击，因为它自然必须连接到互联网上许多不受信任的 DNS 服务器。因此，权威答案应该由不同的软件提供，因为您真的真的想确保你的DNS 服务器不会传播虚假信息，权威性关于的数据你的领域对整个互联网。

Answer

未上市的主要（又称影子主服务器、未列出/影子主服务器）是严格安全的内联网中常见的配置。简而言之，这是在父域中没有 NS 记录的主服务器。换句话说，没有委派的主服务器。委派应该指向一个或多个奴隶服务器。

场景：您的 ACME 公司拥有内部网和主 DNS 服务器，大多数客户都会使用。它托管“intranet.acme.com”区域。现在，您正在设置一个严格安全的子网，其中包含单独的 DNS 服务器和域“finances.intranet.acme.com”。

您希望整个组织能够查询 DNS 记录。
您不希望整个组织的网络流量都流向您的 DNS 服务器。
您希望成为唯一更改 DNS 记录的人。

解决方案：不要将您的服务器指定为“finances.intranet.acme.com”的 NS。只要您可以说服管理员将“finances.intranet.acme.com”托管为从属服务器，就可以指定其他服务器作为 NS。（组织的主 DNS 服务器会将子域委托给您，令人惊讶的是，它恰好是此类从属服务器的不错选择。）您宝贵的本地服务器现在在 DNS 层次结构中几乎不可见。它只会向从属服务器提供区域传输，并（可选）回答您选择的一组客户端的查询。

注意：在 SOA 记录中指定哪个服务器由您决定。它可能是您的“未列出”服务器，因为 SOA 记录不用于遍历 DNS 层次结构。

类似地，你也可以创建未列出的奴隶服务器 - 域的从属服务器，未列在域的 NS 记录中。同样，此服务器将仅接收来自知道 IP 地址的客户端的流量，因为无法从任何其他 DNS 服务器获取其地址。它将像任何其他从属服务器一样回答查询：权威且快速（即仅使用本地磁盘文件）。

另一种方案，与上面的“未列出服务器”概念有些不兼容，但值得了解。dnscache 和 tinydns 的作者建议将 DNS 服务器严格分为两种类型：

DNS 缓存（又名仅递归服务器，但我觉得这是一个错误的说法） - 没有权威数据的服务器，但代表客户端执行递归和迭代查询；它缓存答案；
仅权威服务器（又名非递归服务器) - 仅回答有关其权威数据的查询，但不代表任何人执行递归或迭代查询的服务器。此服务器不需要实现缓存，因为它永远不需要非权威地回答。此服务器对于普通客户端毫无用处，因为他们需要完全（递归地）回答他们的问题。应该查询它的“客户端”是其他 DNS 服务器 - 更准确地说：DNS 缓存。

从安全角度来看，DNS 缓存总是很容易受到毒药（虚假 DNS 记录）和其他类型的攻击，因为它自然必须连接到互联网上许多不受信任的 DNS 服务器。因此，权威答案应该由不同的软件提供，因为您真的真的想确保你的DNS 服务器不会传播虚假信息，权威性关于的数据你的领域对整个互联网。

Question 3

你很可能会看到：

带缓存的递归 DNS 解析器。负责为您局域网中的客户端应答 DNS 查询的机器。您不希望使此功能 [递归 DNS 解析] 可用于所有互联网。它被认为是有害的 - 可能被 [滥用] 用于放大 DDoS 攻击。
主 DNS 和辅助 DNS - 如果您要托管 DNS 服务器，该服务器是某些区域的权威答案来源[例如 yourcompany.com 或 - 可能不适用于您的情况 .153.152.151.in-addr.arpa - 对于 rev dns，即 ip 地址到主机名的解析]。您可能希望在公司内部创建仅供内联网使用的私有主 DNS/辅助 DNS[例如，用于微软活动目录的域服务器]

还可能存在其他情况 - 例如 DNS 转发器仅将传入的 DNS 查询转发到其他名称服务器。

dyndns 是一种特定的服务，它与您机器或路由器上运行的更新程序相链接。可能您是客户而不是它的运营商。dyndns 客户端会检查您的机器是否更改了地址 [例如由于重新连接到 adsl 运营商]，如果是，则向 dyndns 运营商发送更新，告知 myhost.somedyndnsoperatorname.net 现在应该指向新的 ip - 123.123.123.321。

你可以看看维基百科以获取更多信息或详细描述您的情况以获得更精确的答案。

Answer