我们内部有Active Directory,域控制器处理我们的“内部”区域(例如domain.local,16.172.in-addr.arpa)的权威DNS以及所有用户的递归.我们有大约1200个用户,因此5个域控制器可以轻松处理DNS递归,只需转发到Cisco Umbrella DNS即可获得他们不具有权威性的区域.我们在很大程度上依赖于动态DNS,包括内部主机的A和PTR记录.对于我们的公共区域,我们使用DNS Made Easy.
现在我们正在研究IPv6,我们希望保持内部使用动态DNS的能力,包括AAAA和PTR记录.由于IPv6中不需要NAT,因此给定主机内部具有与外部相同的地址.是否为ip6.arpa区域(内部区域和外部区域)维护两个单独的数据库仍然应该做什么?另一种方法是在我的防火墙中放置一条规则,允许公共DNS服务器成为ip6.arpa区域的辅助服务器.我不是在谈论允许整个互联网直接查询我的DC – 而是让DNS Made Easy传输代理保留它的副本.
这样做“放弃”我所有的内部DNS条目,但是真的那么可怕吗?
当我输入这个时,我认为最好只维护两个数据库 – 一个是内部数据库,一个是外部数据库,就像过去我一直做的那样.社区的想法是什么?
解决方法
Doing this “gives away” all my internal DNS entries,but is that really so terrible?
如果你的老板不认为这很糟糕,而你认为这很糟糕,那么你有答案. IPv6的爬网时间比IPv4要长得多,但仍可以对其进行爬网.如果您不关心2001年的DNS查找:db8 :: 1是否会产生YourFinancialServer.Example.com并且您的管理链中似乎没有人关注,那么您可以管理所有IPv6反向DNS,其边缘面向DNS权限并称它为一天.
Is maintaining two separate databases for the ip6.arpa zone (an internal one and an external one) still what should be done?
这是由前一个问题决定的.如果应该这样做,下一步就是确定私有路由网络的逻辑分离.
>在一个理想的世界中,您的网络团队已经清晰地划分出无法通过互联网路由的IPv6空间段,您可以使用这些段来推动您在权威服务器之间拆分反向DNS的设计.您可以在面向内部的递归服务器上设置转发器,以将私有路由的V6空间的反向请求引导到内部权限,并让递归将其余请求发送到正常的面向Internet的权限.>在一个不太理想的世界中,您的IPv6空间处于设计变化的状态,没有明确区分公共和私有的规则.在最糟糕的情况下,您的地址通过防火墙在公共和私人之间进行部分修复,而不会划分为干净利落的网络.这使得递归服务器的转发规则很难(几乎不可能)进行管理,您可能必须在公共和私有之间管理两个完全不同版本的相同权威区域.如果没有干净的自动化,在设备停用时删除记录,这将很快变得不一致.