我想知道设置主 DNS 和从属 DNS 的正确方法。
我从某处读到过,您的主 DNS 服务器不应该在您的区域文件中有 NS 记录 - 这是一种秘密,而您的从属名称服务器有 NS 记录并在 whois 记录中列出。
有人可以确认设置主名称服务器和从属名称服务器的区域文件和 whois 的正确方法吗?
出现这种情况的原因是,我的从属名称服务器抱怨我的主名称服务器不是某个域的权威,而对于从属名称服务器具有 NS 记录的域,它肯定是该域的主服务器,但是对于没有从属 NS 记录的域,它不会抱怨。
答案1
大型运营商运行“隐藏主服务器”配置并不罕见。这允许他们在隐藏服务器上执行所有区域维护,而不会面临被客户端查询淹没的风险。
您从从属服务器看到的投诉应该只是警告,可以忽略。但是,如果配置实际上不起作用,请更新您的问题并提供更多详细信息。
答案2
我采用另一种方式,在 SOA 中我的主服务器是 ns1(从属区域),我有 3 个本地从属服务器 ns2、ns3 和 ns4,然后有 2 个外部名称服务器。
所有 DNS 都在独立机器上完成,但配置为向本地主服务器发送通知,本地主服务器设置为“也通知”本地并删除从服务器,这样它们的更新只能来自我本地 IP 空间中的 1 个 IP 地址。
我还添加了 TSIG 层,因为我的外部从属设备正在使用公共互联网进行通信。
这都是个人喜好,但要记住的是,您不希望已发布的名称服务器从不安全的网络进行任何类型的更新,只有您维护、信任和安全的网络,然后在顶层进行应用程序安全性(TSIG)。
另外,我运行 Bind9,还运行 DBJDNS(使用脚本在更新时从主服务器重新传输),这使我可以使用简单的 WebUI 并且仍然拥有安全的从属后端。