动态 DNS 是否需要单独的子域？

Question 1

不，从技术上来说，不需要为动态更新设立单独的区域。

我认为使用子域进行动态 DNS 的最大因素与更新区域的安全策略有关。在我看来，您可以在 bind 中设置的权限不是很灵活，尽管较新的版本有所改善。使用allow-update(Bind 8.*) 权限在区域级别应用，而不是每个记录。因此，如果客户端 a 使用被授权执行更新的 IP 地址，他们可以更新关键服务器的记录。

因此，在决定动态 DNS 配置时，您必须决定是否认为让您的工作站能够更改某些关键服务的更新记录是个好主意。或者您是否想将关键服务分离到一个没有动态更新的区域，而将其他机器分离到更动态的区域。

Answer

不，从技术上来说，不需要为动态更新设立单独的区域。

我认为使用子域进行动态 DNS 的最大因素与更新区域的安全策略有关。在我看来，您可以在 bind 中设置的权限不是很灵活，尽管较新的版本有所改善。使用allow-update(Bind 8.*) 权限在区域级别应用，而不是每个记录。因此，如果客户端 a 使用被授权执行更新的 IP 地址，他们可以更新关键服务器的记录。

因此，在决定动态 DNS 配置时，您必须决定是否认为让您的工作站能够更改某些关键服务的更新记录是个好主意。或者您是否想将关键服务分离到一个没有动态更新的区域，而将其他机器分离到更动态的区域。

Question 2

动态 DNS 不支持需要一个单独的子域，但这是最简单（也是最佳）的设置方法。

如果您将 DynamicDNS 更新限制在子域 (ws.example.org) 和子网（均无服务器），则设置限制非常简单，这样就不会发生太糟糕的事情。最糟糕的情况是出现问题时，一个工作站被识别为另一个工作站。

如果您在与服务器所在的主域中设置动态 DNS 更新，则必须小心设置限制，以便工作站无法动态更新自身，例如 www.example.org。我已经很久没有看过它了，但您可能最终需要为每个服务器（或您希望保护名称的其他设备）设置单独的 ACL。子网也有类似的问题。

Answer

动态 DNS 不支持需要一个单独的子域，但这是最简单（也是最佳）的设置方法。

如果您将 DynamicDNS 更新限制在子域 (ws.example.org) 和子网（均无服务器），则设置限制非常简单，这样就不会发生太糟糕的事情。最糟糕的情况是出现问题时，一个工作站被识别为另一个工作站。

如果您在与服务器所在的主域中设置动态 DNS 更新，则必须小心设置限制，以便工作站无法动态更新自身，例如 www.example.org。我已经很久没有看过它了，但您可能最终需要为每个服务器（或您希望保护名称的其他设备）设置单独的 ACL。子网也有类似的问题。

动态 DNS 是否需要单独的子域？

答案1

答案2

相关内容