Предложения требуются для Внутреннего DNS
Я настраиваю новую серверную среду, состоят из 70 + серверы весь под управлением Linux (смешанный Redhat/CentOS.) Я хочу установить несколько серверов DNS (основных/вторичных), чтобы использоваться/настраиваться на всех серверах, которые должны способный заботиться для следующих вещей главным образом.
1. Авторитетный DNS для разрешения записей локального сервера.
Я хочу присвоить простые доменные имена серверам (главным образом записи) как db1.example.int
или Основная идея app1.example.int является серверами, должен способный достигнуть друг друга через там (внутренние) названия DNS.
2. Рекурсивный / Кэшируемое разрешение DNS для общественного достояния (как google.com).
Для разрешения любых записей DNS кроме локального домена (example.int) печатные листы должен быть отправлен на восходящие серверы DNS, настроенные как средства передачи.
В настоящее время я исследую BIND и dnsmasq с этой целью. Если я иду с BIND или должен попробовать dnsmasq (с dhcp-отключенным - так как все мои серверы будут использовать статического дюйм/с), совместно используйте свои мысли и события, если работается на подобной установке.
Обычно это называется "раздельный DNS". Вы создаете систему, в которой DNS-записи, видимые за пределами компании, отличаются от DNS-записей, видимых внутри компании. В частности, посторонние лица видят www.example.com и другие внешне видимые хосты. Внутри компании все машины имеют DNS записи... эти записи не видны снаружи.
- Выберите внутренний домен.
Обычно машины внутри компании находятся на поддомене домена компании. Например, если ваша компания example.com, все машины внутри нее будут MACHINENAME.corp.example.com. Проблема заключается в том, что вы никогда не сможете использовать "corp.example.com" в качестве внешнего DNS имени.
Warning: Однажды я видел, как компания использует "inside" вместо "corp". Когда маркетологи хотели сделать внешний веб-сайт под названием "inside.example.com". ("руководство для инсайдеров" по использованию их продукта) это стало политическим кошмаром.
Предупреждение: Я настоятельно рекомендую дополнительный уровень иерархии. MACHINENAME.LOCATION.corp.example.com. "местонахождение" может быть "hq" для головного офиса, "nyc" для офиса продаж Нью-Йорка и т.д. Большинство организаций используют 3-буквенные коды, часто ближайший код аэропорта.
Когда я был в одной компании, у нас каждый компьютер был "MACHINENAME.corp.example.com" в головном офисе, потому что мы не думали, что у нас когда-нибудь будут местные офисы. Когда мы открывали большие офисы в других местах, они были "MACHINENAME.SITE.corp.example.com". Каждый инструмент, который мы писали, должен был быть "особым случаем" того, что штаб-квартира отличается от других. В конце концов, нам пришлось поменять штаб-квартиру, чтобы быть похожими на все остальные сайты. Это был болезненный переход. Тем не менее, я вижу, как компании делают эту ошибку снова и снова. Поэтому, даже если у вас нет планов роста за пределами одного здания, я все равно рекомендую MACHINENAME.LOCATION.corp.example.com.
- Configure "split DNS" или DNS "views" на ваших DNS-серверах.
BIND и другие системы DNS могут быть настроены на предоставление различных ответов в зависимости от источника DNS-запроса или интерфейса, на который пришел DNS-запрос.
Например, если у вас есть DNS-сервер с 1 сетевой картой внутри компании и 1 сетевой картой вне компании:
Внутри сетевой карты:
- РАЗМЕЩЕНИЕ. corp.example.com (для каждой локации)
- corp.example.com
- example.com.
- Все остальные домены используют DNS "forwarders"
Outside NIC:
- example. com (SAME zonefile as the inside nic use)
- Любая "рекурсивная" или переадресация отключена.
Вы также можете иметь 2 разные машины, каждая с разной конфигурацией.
ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ:
Примечание: Я не думаю, что dnsmasq может делать разделение DNS. BIND может, как и большинство других "корпоративных" продуктов. Ищите "виды" или "разделенный DNS" в руководстве
.