我们有一个域名,比如说example.com。我们使用基于云的提供商作为权威服务器。我们有一些客户使用 IPSec 隧道,我们需要将一些内部记录提供给他们。为此,我们有“半公开”名称服务器,它们为某些记录提供不同的 IP 地址,但如果这些记录未在这些“半公开”服务器上定义,则需要将响应转发到“真实”权威服务器。我们不想在我们的“半公开”名称服务器中复制每条记录(大约有 1,000 条)。
我们目前正在使用 Cisco IOS(是的,IOS 路由器具有名称服务器功能)视图来实现这一点。它工作正常,但有点不稳定,而且TTL 始终为 10 秒,无法更改。这也意味着只有网络工程师而不是服务器管理员才拥有独占访问权限(政治很糟糕)。
我在实验室中使用 BIND 进行测试RPZ(响应政策区)。然而,一个不幸的后果是响应从未设置权威标志。我担心这会给一些解析器带来问题。我可以跳过 BIND 的 RPZ 功能,只为每个记录创建一个单独的区域,但这并不好玩,因为谁愿意为 BIND 维护大约 100 个区域,只是为了在每个区域都有一个记录?
我认为 dnsmasq 可以解决这个问题,因为它设置了权威标志。但不幸的是,我只能在 Windows Server 2012 R2 上运行。
因此,我想问一下是否有人知道 Windows 解决方案(我认为是 BIND,因为我可以在 Windows 上安装它并且它运行良好),该解决方案将为区域内的查询提供权威答案,但如果未定义特定记录,则会继续转发?也许我不知道如何在 BIND 中执行此操作,或者也许有其他解决方案(例如,Unbound)。
答案1
我发现 Unbound 的配置指令满足了我的所有标准local-data。它甚至涵盖了 SRV 记录等(我需要的)。即使是普通的 Windows 管理员也可以非常轻松地更新配置文件。我是它的粉丝。