Kann ich einen Teil einer Zone an einen anderen Server delegieren?

7

Ich frage mich wohl etwas Ähnliches wie Kann ich DNS-Einträge für einige Hosts erstellen und andere Abfragen in derselben Domäne an einen anderen DNS-Server delegieren? , aber ich hoffe, dass ich mit BIND eine andere Antwort bekomme.

Grundsätzlich habe ich home.mydomain.tldals öffentlicher A-Datensatz bereits einen, der dynamisch aktualisiert wird. Ich frage mich, ob es eine Möglichkeit gibt, dieser Domäne in meinem Heimnetzwerk einfach einen lokalen Dienst bereitzustellen, ohne ihn zu überschreiben. Wirklich, nur lokale AAAA-Aufzeichnungen. Die A-Einträge würden hoffentlich vom DNS / DHCP-Server meines Routers stammen. Es ist noch nicht klug genug, um über IPv6 Bescheid zu wissen.

Wenn nicht, kann ich die A-Datensätze ab und zu halbautomatisch füllen, aber wenn es möglich ist, dies zu vermeiden, würde ich es gerne versuchen.

domain-name-system bind Pioto
quelle
1
Lesen Sie über Bind Views
Lazy Badger
5
@LazyBadger Das fragt er nicht, er will die externe Zone nicht "überschreiben". Obwohl das so nah wie möglich an dem liegt, wonach er fragt.
Chris S
@ChrisS - wie lange bist du im Hostmaster-Geschäft? Ich bin fast 15 Jahre alt. Wie kann ich in einer anderen Form diese schmutzige Anfrage "dekodieren", "wenn es eine Möglichkeit gibt, dieser Domäne in meinem Heimnetzwerk einfach einen lokalen Dienst bereitzustellen, ohne ihn zu überschreiben" - dh. unterschiedliche RR für Hostnamen je nach Client-Standort?! Nun, Hosts-Datei für alle Hosts wird auch funktionieren, aber es ist so dumm
Lazy Badger
1
Ich werde auch jedem empfehlen, der DNS-Fragen hat: Erwerben und lesen Sie eine Kopie des Cricket-Buches mit dem Titel "Alles, was Sie möglicherweise über das Domain Name System wissen möchten".
voretaq7
4
@LazyBadger Ich werde zunächst zugeben, dass meine Meinung über Sie drastisch gesenkt wurde, als Sie das Argument "Ich mache das seit X Jahren" herausholten, bevor Sie einen technischen Grund anführten, aus dem Sie Recht haben . Ich bin ziemlich sicher, dass das OP RRs zu einer vorhandenen externen Domäne hinzufügen möchte, ohne die externen Datensätze auf seinem internen Server / seiner internen Zone zu duplizieren. Ansichten tun das nicht, wie jemand wissen sollte, der seit 15 Jahren Hostmaster ist (obwohl BIND 9 erst seit 12 Jahren nicht mehr verfügbar ist, gelten diese ersten 3 offensichtlich nicht für Ansichten ).
Chris S

Antworten:

2

Es klingt wie Sie haben home.mydomain.tldals eine öffentliche Zone und Sie möchten interne Aufzeichnungen erstellen für PC.home.mydomain.tld, TV.home.mydomain.tld, refrigerator.home.mydomain.tldusw.?

Die einzige unangenehme Möglichkeit, dies zu tun, ohne auf die home.mydomain.tldDomain zu treten , besteht darin, x.home.mydomain.tldalles zu erstellen und unter diese Zone zu stellen, die von Ihrem lokalen Nameserver bereitgestellt wird.

Sie KÖNNTEN oben für jeden PC, Fernseher, Kühlschrank usw. eine eigene Zone erstellen und Ihren lokalen Nameserver nur für diese einzelnen Bits autorisieren lassen. Dies bedeutet jedoch eine große Anzahl von Zonendateien mit einem Eintrag (YUCK!).

Beachten Sie auch, dass alle von Ihnen erstellten lokalen Zonen die Zonen eines externen DNS-Servers betreten und überschreiben: Es ist nicht möglich, dass der A-Eintrag für pc.home.mydomain.tldvon einem NS und der AAAA-Eintrag für diesen von einem anderen stammen: DNS delegiert und deklariert die Berechtigung nach Zonennamen , und diese Berechtigung gilt für alle Datensatztypen in dieser Zone.
Wenn einem Nameserver mitgeteilt wird, dass er für etwas maßgeblich ist und den Eintrag nicht finden kann, wird die Abfrage nicht über den DNS-Baum weitergeleitet, sondern einfach zurückgegeben NXDOMAIN.

voretaq7
quelle
Wenn Sie über eigene Nameserver verfügen, die für home.mydomain.tld maßgeblich sind, können Sie einfach ein Skript erstellen, um den externen dynamischen A-Datensatz vom externen Nameserver abzurufen und in Ihre lokal gehostete Zone einzufügen. Schmutziger Hack, aber es wird den Job machen.
Goo
Ich hatte gehofft, dass BIND die Suche auf irgendeine Weise transparent durchführen konnte. Ich verstehe, dass Sie nicht unterschiedliche RR-Typen von unterschiedlichen NS haben können. Aber das ist wahrscheinlich das Beste, was ich bekommen kann. Naja. Vielen Dank.
Pioto
1
@pioto Ja, das DNS wurde einfach nicht dafür entwickelt. Sie könnten natürlich in die Eingeweide von BIND eintauchen und es hacken, um dies zu tun (es ist ein Open-Source-Projekt), aber ich würde solche Bemühungen als Beweis für Wahnsinn betrachten. :-)
voretaq7
3

Natürlich kannst du. Jeder Knoten im Namespace unterhalb der Zonenspitze kann ein Delegierungspunkt sein.

Um Ihre Frage zu klären: Für den Rest des Internets haben Sie zum Beispiel:

;; pioto.org. zone
@                   IN A 66.39.110.116
newpair             IN A 66.39.110.116
creandus            IN A 66.39.110.116

Aber in Ihrem LAN möchten Sie Folgendes haben, weil Sie von all diesen Innovationen der 90er Jahre so begeistert sind und mit ihnen experimentieren möchten:

;; pioto.org. zone
@                   IN A 192.168.100.1
@                   IN AAAA FEC0:0100::1
newpair             IN A 192.168.100.2
newpair             IN AAAA FEC0:0100::2
_http._tcp          IN SRV 10 10 80 @
_http._tcp.newpair  IN SRV 10 10 80 newpair

Dies ist eine einfache Übung im Split-Horizon- DNS-Dienst. Konfigurieren Sie einen internen Inhalts-DNS-Server mit dem zweiten Datensatz und führen Sie den Prune-and-Graft-Vorgang in geeigneter Weise aus, indem Sie entweder Stub-Zonen mit ordnungsgemäß getrennten Servern oder Ansichten verwenden.

Teile der externen DNS-Datenbank intern sichtbar zu machen, ist - bei ordnungsgemäß getrennten Inhalts- und Proxyservern - eine einfache Aufgabe bei der Delegierung auf dem Inhaltsserver:

;; pioto.org. zone, continued
creandus            IN NS NS1.PAIRNIC.COM.
creandus            IN NS NS2.PAIRNIC.COM.

Wenn Sie auf Ihrem Router einen kombinierten DHCP-plus-Content-DNS-Dienst haben, der über geleaste IP-Adressen und Hostnamen informiert ist, oder wenn Sie Microsoft DNS- und DHCP-Server auf einem Windows Server-Computer haben, erhalten Sie die IP-Adressen vom kombinierten Server ist auch eine Übung in der Delegation:

;; pioto.org. zone, modified
newpair             IN NS a.ns.newpair ;; replaces the A and AAAA records
a.ns.newpair        IN A 192.168.1.1   ;; IP address of the DHCP+DNS server

Die einzigen Dinge, die Sie nicht tun können, sind ...

  • … Externe Daten für pioto.org.sich nutzen. Die Zonenspitze kann nicht delegiert werden.
  • … Abrufen Aund AAAARessourceneinträge von verschiedenen Inhalts-DNS-Servern.

Weiterführende Literatur

JdeBP
quelle
2
Während Ihre Antwort gründlich ist, erhalten Sie +10 gruselige Punkte für die Entscheidung, tatsächliche Daten aufzulisten, die ich nicht angegeben habe.
Pioto