O DNS dinâmico requer subdomínios separados?

Navegue suas respostas
2

Eu tenho um servidor DHCP / DNS (ISC Bind 9.6, DHCP 3.1.1) em funcionamento no Debian que gostaria de adicionar a funcionalidade DynamicDNS. Eu tenho uma pergunta bem simples: o DynamicDNS exige (ou recomenda) subdomínios separados? Eu vi alguns tutoriais em que os clientes que estão adquirindo seus endereços IP e outras informações de rede via DHCP estão em um subdomínio diferente dos servidores que são configurados estaticamente (em termos de IP e DNS). Por exemplo: Todos os clientes estão em ws.example.org e os servidores em example.org.

Neste momento, todos os nossos servidores e clientes estão no mesmo domínio (exemplo.org), mas espalhados por diferentes arquivos de zona (porque temos várias sub-redes). Os clientes são configurados com o DHCP e os servidores são configurados estaticamente. Se eu quiser configurar o DynamicDNS para os clientes, devo usar um subdomínio separado? Qual é a melhor prática aqui (e por que ou por que não seria uma má idéia fazer o contrário)?

Obrigado.

    
por kce 22.12.2010 / 22:03

2 respostas

2

Não, não é tecnicamente necessário ter uma zona separada para atualizações dinâmicas.

Acho que o maior fator no uso de subdomínios para DNS dinâmico tem a ver com as políticas de segurança para atualizar a zona. Na minha opinião, as permissões que você pode definir no bind não são muito flexíveis, embora versões mais novas sejam um pouco melhores. Com allow-update (Bind 8. *) as permissões são aplicadas no nível da zona e não por registro. Assim, o cliente a poderia atualizar o registro para seu servidor crítico se eles tivessem usado um endereço IP autorizado a executar atualizações.

Portanto, ao decidir sobre sua configuração de DNS dinâmico, você precisa decidir se acha que é uma boa ideia permitir que suas estações de trabalho possam alterar os registros de atualização para algum serviço crítico. Ou você deseja separar serviços críticos de uma zona sem atualizações dinâmicas e outras máquinas nas zonas mais dinâmicas?

por 22.12.2010 / 22:24
1

O DNS dinâmico não precisa de um subdomínio separado, mas é a maneira mais fácil (e melhor) de configurá-lo.

Se você restringir as atualizações do DynamicDNS a um subdomínio (ws.example.org) e a uma sub-rede (ambas sem servidores), é bastante simples configurar as restrições para que nada de muito ruim possa acontecer. O pior caso de algo dar errado é uma estação de trabalho sendo identificada como outra estação de trabalho.

Se você configurar as atualizações do DynamicDNS no mesmo domínio principal de onde os servidores moram, é necessário ter cuidado ao configurar restrições para que as estações de trabalho não possam atualizar-se dinamicamente para, digamos, www.example.org. Já faz muito tempo desde que eu olhei para ele, mas você pode acabar precisando de uma ACL separada para cada servidor (ou outro dispositivo para o qual você deseja proteger o nome). Problemas semelhantes com sub-redes.

    
por 22.12.2010 / 22:29

Tags

Como visualizar a largura de banda de memória no Linux? Excluir arquivos e pastas