目前,我们的公司网络上有主 DNS 服务器和辅助 DNS 服务器。它们采用主/从类型设置,从服务器从主服务器获取其 DNS 信息。
我试图弄清楚主/从设置的真正优势是什么,而不是仅在两者之间设置自动 rsync 以保持 DNS 设置匹配。
有人能解释一下吗?还是这只是一个优先考虑的事情?如果是这样的话,rsync 的设置似乎更容易设置、维护和理解。
答案1
主/从配置(也称为“区域传输”,AXFR或IXFR)是大多数 DNS 服务器使用的标准配置。仅出于这个原因,我建议采用这种配置,尽管它很复杂。
虽然我推荐它以实现互操作性,并且因为它易于其他管理员理解,但这并不意味着它在技术上是最好的方法。
Daniel Bernstein(djbdns/ tinydns)非常喜欢rsync并此表rsync与区域传输进行比较.rsync与之配合得很好tinydns,但我从未尝试过bind。
如果您尝试这样做,请记住,您可能会编写一个由 运行的脚本cron。查看您的 DNS 配置的另一个管理员不一定知道这一点,也不一定知道在哪里可以找到同步脚本。相比之下,常规区域传输配置就在您的区域文件中,使其明确。这是否重要取决于您与多少其他管理员打交道以及您希望他们对您的 DNS 配置有多了解。
答案2
这里实际上发生了很多事情,但其中很多可能与您的情况无关。
首先,使用 DNS 主/从关系可以轻松跨异构服务器类型进行复制。我知道我已经将主 OS X Server(BIND?)服务器与 Windows DNS 同步。
这也允许您指定辅助 DNS 系统可以从不同区域的不同主服务器检索(反之亦然)。一个实际的例子:我们曾经运行自己的 DNS 系统,并将额外的辅助 DNS 外包以确保可靠性。
通过这种方式扩展 DNS 服务器也很简单。您只需将新的从属服务器添加到列表中,而不必添加其他名称服务器、设置其他复制等。这使该过程保持相对独立。
答案3
使用AXFR/IXFR而不是 rsync 的原因如下:
它是标准的,适用于所有符合标准的实现。这允许您混合服务器 - 也许如果您希望在某个供应商出现安全问题时具有弹性
它很快 - 如果使用该机制,主服务器上的更改可以在几秒钟内复制到辅助服务器上
NOTIFY。(主服务器告诉辅助服务器区域已更改,然后辅助服务器可以使用来获取更改IXFR)。它是可靠的——您的服务器不可能以某种方式获取一半复制的文件并认为这是整个文件。
FWIW,我们IXFR在这里使用非常大区域。它“正常工作”。
答案4
看起来 rsync 和 IXFR 最终会做几乎相同的事情。例如,您可以从 bind9->bind9 进行 rsync,但如果您需要从 bind8->bind9 或 bind->Microsoft 进行,则区域传输仍然有效,尽管后端存在差异。我认为仅使用 rsync 的优点是您可以完全禁用区域传输,从安全角度来看这很好。