需要Bind9架构建议

Question

我需要你对DNS架构的建议。

此架构描述了我认为要构建的DNS体系结构：

DNS体系结构

在我的公司，每台台式机/膝上型电脑都配置了LAN的DNS (10.1.1.1)，这是一个Microsoft AD/DNS，而我没有掌握它。其他DNS是Bind9，在我是管理员。我的目的是为新项目(在一个独立的网络中)添加其他DNS服务器，而不改变笔记本和LAN DNS上的任何内容，当然，我希望开发人员(在LAN中)能够查询和接收这些新项目的fqdn的答案。

从DNS (fqdn)的角度来看，有一个域(project.com)和多个子域(subX.project.com).每个子域都在一个独立的网络中。

示例:在每个vlan上，我将有一个web服务器，我希望它回答它的DNS子域：

web.project.com  --> for the web server of the project zone.
web.sub1.project.com  --> for the web server of the sub-project zone
web.sub2.project.com ....

因此，我对Bind9的理解让我认为LAN服务器(10.1.1.1)可以将请求转发到项目DNS服务器(10.100.1.1)。项目DNS可以将请求转发到子项目DNS服务器(10.200.1.1 / 10.250.1.1)。

最终，如果区域DNS将其请求转发给上层DNS，则网络中的所有VM都可以解析公共fqdn。我只想重申一下，我没有主DNS (在局域网中)的手。

Bellow，您将找到named.conf. describes 文件，它表示架构中描述的体系结构：

• DNS project.com (10.100.1.1/10.100.1.2)

{
    allow-query     { 127.0.0.1; 10.1.1.1; 10.1.1.2; 10.200.1.1; 10.200.1.2; 10.250.1.1; 10.250.1.2; 10.100.1.0/24; };
    recursion yes;
    notify yes;
    allow-transfer { 10.100.1.2; }; # the slave
    forwarders {
        10.1.1.1;
        10.1.1.2;
    };
}

• DNS sub1.project.com (10.200.1.1/10.200.1.2)

{
    allow-query     { 127.0.0.1; 10.100.1.1; 10.100.1.2; 10.200.1.0/24; }; queries from VMs in this network and DNS from upper zone
    recursion yes;
    notify yes;
    allow-transfer { 10.200.1.2; };
    forwarders {
        10.100.1.1;
        10.100.1.2;
    };
}

• DNS sub2.project.com (10.250.1.1/10.250.1.2)

{
    allow-query     { 127.0.0.1; 10.100.1.1; 10.100.1.2; 10.250.1.0/24; }; queries from VMs in this network and DNS from upper zone
    recursion yes;
    notify yes;
    allow-transfer { 10.250.1.2; };
    forwarders {
        10.100.1.1;
        10.100.1.2;
    };
}

你觉得这个建筑怎么样？你认为有什么缺点、错误或误解吗？

致以问候。

Answer 1

我的目的是为新项目(在一个独立的网络中)添加其他DNS服务器，而不改变笔记本和LAN DNS上的任何内容，当然，我希望开发人员(在LAN中)能够查询和接收这些新项目的fqdn的答案。

只需通过NS记录将您的主DNS服务器委托给您的命名服务器，然后您就可以控制这个区域(因此下面的所有内容)。在名称解析过程中，正常的递归行为将在没有任何特定配置的情况下启动。

您似乎混淆了名称服务器的递归角色和权威角色。这些不能混合。您应该避免(在技术上可以避免使用像dnsmasq甚至unbound这样的软件)服务器一般都是递归的，但是对于某些名称来说是权威的。做好适当的授权，有一棵有意义的树，你就不会有任何奇怪的问题。您应该尽可能避免“转发”查询。

您的一组配置示例只是将递归名称服务器划分为一个网格，它们在任何方面都不是权威的，所以这不是一条可行的道路。有代表团吗。