我们正在推出IPv6,并且正在考虑我们的DNS策略。 这不是一个技术问题 – 这更像是一个“最佳实践”的问题。
我们内部有Active Directory,域控制器处理我们的“内部”区域的权威DNS(例如, domain.local
, 16.172.in-addr.arpa
)以及所有用户的recursion。 我们有大约1200个用户,因此这5个域控制器可以轻松处理DNSrecursion,只需转发到思科Umbrella DNS即可查看他们不具有权威性的区域。 我们严重依赖于dynamicDNS,对于内部主机的A和PTRlogging。 对于我们的公共区域,我们使用DNS Made Easy 。
现在我们正在研究IPv6,我们希望在内部保持使用dynamicDNS的能力,无论是AAAA还是PTRlogging。 由于在IPv6中不需要NAT,所以给定的主机将在内部具有与在外部相同的地址。 为ip6.arpa区域(内部和外部区域)维护两个单独的数据库还应该做什么? 另一种方法是在我的防火墙中添加一条规则,允许公共DNS服务器成为ip6.arpa区域的辅助服务器。 我并不是在谈论允许互联网直接查询我的数据中心,而是让DNS Made Easy转移代理保留一份副本。
这样做“放弃”我所有的内部DNS条目,但这真的太可怕了吗?
当我input这个内容时,我认为最好是维护两个数据库 – 一个内部数据库和一个外部数据库,就像我以前一直所做的那样。 社区有什么想法?
这是一个没有真正正确答案的最佳实践问题,但是这些问题是我会问自己为我find答案的。
这样做“放弃”我所有的内部DNS条目,但这真的太可怕了吗?
如果你的老板不认为这是可怕的,你不认为这是可怕的,那么你有你的答案。 IPv6比IPv4爬行要花费更多的时间,但仍然可以爬行。 如果您不关心2001:db8 :: 1的DNS查找是否会生成YourFinancialServer.Example.co m,并且您的pipe理链中也没有人关心,则可以使用面向DNS的边缘pipe理所有IPv6反向DNS权威,并称之为一天。
为ip6.arpa区域(内部和外部区域)维护两个单独的数据库还应该做什么?
这是由上一个问题决定的。 如果这是应该做的,下一步是确定你的私人路由networking的逻辑分离。