我们在 10 个不同的国家/地区拥有大约 10 个域名,我们想设置一些集中式 DNS 管理。基本上,我们考虑的是这种设计(所有服务器都是 RHEL,以绑定为 DNS):
拥有 1 个隐藏的主 DNS 服务器,无法从互联网访问,其中包含所有这些域的区域文件,以便我们可以在一个地方更改所有内容。在每个国家/地区都有从属 DNS 服务器,这些区域分别从主服务器复制到从属 DNS 服务器。
我认为这种设计的奇怪之处在于,只有从属服务器才会位于 DMZ 中并可通过互联网访问,并且只有它们才具有权威性,并拥有每个此类域的 NS 记录。
这有意义吗?对于一个不被视为权威的域,是否有可能拥有主服务器,因为它本身没有 NS 记录?(我猜,对于从互联网上看不到的服务器,拥有 NS 记录是没有意义的)。
答案1
从我的经验来看,您的设计没有任何问题,除了您只使用一个主服务器 - 您需要一些冗余。使用两个或三个始终同步的隐藏主服务器 - 即使一个或两个主服务器发生故障,从属服务器也可以刷新其区域。
许多大型组织实际上不想公开他们的 DNS 服务器,因为他们不想处理 DDOS 和全球可用性等问题。他们最终会使用第三方 DNS 提供商(如 Dyn 或 UltraDNS)来公开其域的 NS 记录,这些 NS 记录是来自第三方的从属名称服务器。在内部,组织将保留自己的隐藏主服务器,在内部对这些服务器进行 DNS 更改,然后让来自 DNS 服务提供商的从属服务器提取最新更改。任何外部用户请求都会转到第三方管理的从属名称服务器。
答案2
这是完全有效的解决方案,一些插图和例子这里