动态 DNS 是否需要单独的子域?

tag-icon tag-icon dhcp subdomain bind dynamic-dns
动态 DNS 是否需要单独的子域?

我有一个在 Debian 上运行的 DHCP/DNS(ISC Bind 9.6、DHCP 3.1.1)服务器,我想向其添加 DynamicDNS 功能。我有一个非常简单的问题:DynamicDNS 是否需要(或推荐)单独的子域?我看过一些教程,其中通过 DHCP 获取其 IP 地址和其他网络信息的客户端与静态配置的服务器位于不同的子域中(无论是 IP 还是 DNS)。例如:所有客户端都在 ws.example.org 上,服务器在 example.org 上。

目前,我们所有的服务器和客户端都在同一个域 (example.org) 中,但分布在不同的区域文件中(因为我们有多个子网)。客户端配置了 DHCP,服务器配置了静态。如果我想为客户端设置动态 DNS,我应该使用单独的子域吗?这里的最佳做法是什么(为什么或者为什么不这样做是个坏主意)?

谢谢。

答案1

不,从技术上来说,不需要为动态更新设立单独的区域。

我认为使用子域进行动态 DNS 的最大因素与更新区域的安全策略有关。在我看来,您可以在 bind 中设置的权限不是很灵活,尽管较新的版本有所改善。使用allow-update(Bind 8.*) 权限在区域级别应用,而不是每个记录。因此,如果客户端 a 使用被授权执行更新的 IP 地址,他们可以更新关键服务器的记录。

因此,在决定动态 DNS 配置时,您必须决定是否认为让您的工作站能够更改某些关键服务的更新记录是个好主意。或者您是否想将关键服务分离到一个没有动态更新的区域,而将其他机器分离到更动态的区域。

答案2

动态 DNS 不支持需要一个单独的子域,但这是最简单(也是最佳)的设置方法。

如果您将 DynamicDNS 更新限制在子域 (ws.example.org) 和子网(均无服务器),则设置限制非常简单,这样就不会发生太糟糕的事情。最糟糕的情况是出现问题时,一个工作站被识别为另一个工作站。

如果您在与服务器所在的主域中设置动态 DNS 更新,则必须小心设置限制,以便工作站无法动态更新自身,例如 www.example.org。我已经很久没有看过它了,但您可能最终需要为每个服务器(或您希望保护名称的其他设备)设置单独的 ACL。子网也有类似的问题。

相关内容