场景:您的 ACME 公司有一个内部网和主要的 DNS 服务器,大多数客户端都使用它。它托管“intranet.acme.com”区域。现在,您正在设置一个严格安全的子网,具有单独的 DNS 服务器和域“finances.intranet.acme.com”。
您希望整个组织都能够查询 DNS 记录。
您不希望整个组织都有到您的 DNS 服务器的网络流量。
您想成为唯一更改 DNS 记录的人。
解决方案:不要将您的服务器指定为“finances.intranet.acme.com”的 NS。只要您可以说服管理员将“finances.intranet.acme.com”作为从属服务器,而是将其他一些服务器指定为 NS。(将子域委托给您的组织的主 DNS 服务器令人惊讶地恰好是此类从属服务器的不错选择。)您宝贵的本地服务器现在在 DNS 层次结构中实际上是不可见的。它只会向从属设备提供区域传输,并(可选)回答来自您选择的一组客户端的查询。
注意:这取决于您在 SOA 记录中指定的服务器。它可能是您的“未列出”服务器,因为 SOA 记录不用于遍历 DNS 层次结构。
同样,您也可以创建未列出的从属服务器 - 域的从属服务器,未在域的 NS 记录中列出。同样,此服务器将仅接收来自知道 IP 地址的客户端的流量,因为无法从任何其他 DNS 服务器获得其地址。它将像任何其他从站一样回答查询:权威且快速(即仅使用本地磁盘文件)。
一种更常见的“类型”是“水平分割”,或简称为“分割”DNS。
这就是 DNS 服务器根据查询的来源给出不同结果的地方。它更常用于人员分布广泛的组织(“本地”主机、WAN 主机或 Internet 主机),所有这些都可能受益于被重定向到同一服务器的不同副本或同一服务器,但有些是给定内部地址,一些给定外部(通常是经过 NAT 处理的)地址。
未列出的主节点(又名影子主节点,未列出/影子主节点)是一种经常在严格安全的 Intranet 中找到的配置。简而言之,这是一个在父域中没有 NS 记录的主服务器。换句话说,没有委托的主服务器。委托应该指向一个或多个从服务器。
场景:您的 ACME 公司有一个内部网和主要的 DNS 服务器,大多数客户端都使用它。它托管“intranet.acme.com”区域。现在,您正在设置一个严格安全的子网,具有单独的 DNS 服务器和域“finances.intranet.acme.com”。
解决方案:不要将您的服务器指定为“finances.intranet.acme.com”的 NS。只要您可以说服管理员将“finances.intranet.acme.com”作为从属服务器,而是将其他一些服务器指定为 NS。(将子域委托给您的组织的主 DNS 服务器令人惊讶地恰好是此类从属服务器的不错选择。)您宝贵的本地服务器现在在 DNS 层次结构中实际上是不可见的。它只会向从属设备提供区域传输,并(可选)回答来自您选择的一组客户端的查询。
注意:这取决于您在 SOA 记录中指定的服务器。它可能是您的“未列出”服务器,因为 SOA 记录不用于遍历 DNS 层次结构。
同样,您也可以创建未列出的从属服务器 - 域的从属服务器,未在域的 NS 记录中列出。同样,此服务器将仅接收来自知道 IP 地址的客户端的流量,因为无法从任何其他 DNS 服务器获得其地址。它将像任何其他从站一样回答查询:权威且快速(即仅使用本地磁盘文件)。
另一种方案,与上面的“未列出服务器”概念有些不相容,但值得了解。dnscache 和 tinydns 的作者建议,DNS 服务器应该严格分为两种:
从安全的角度来看,DNS 缓存总是很容易受到中毒(伪造的 DNS 记录)和其他类型的攻击,因为它自然必须通过 Internet 连接到许多不受信任的 DNS 服务器。因此,权威答案应该由不同的软件提供,因为您真的很想确保您的DNS 服务器不会将有关您的域的虚假权威数据传播到整个互联网。
你很可能会看到:
也可能存在其他情况 - 例如,仅将传入的 dns 查询转发到其他名称服务器的 dns 转发器。
dyndns 是一项特定的服务,它与运行在您的机器或路由器上的更新程序相关联。可能您将成为客户而不是它的运营商。dyndns 客户端检查您的机器是否更改了地址[例如,由于重新连接到 adsl 运营商],如果是,则将更新发送到 dyndns 运营商,告诉 myhost.somedyndnsoperatorname.net 现在应该指向新的 ip - 123.123.123.321。
您可以查看维基百科以获取更多信息或详细描述您的案例以获得更准确的答案。
请参阅我对我定义的类似问题的回答: