IPv6でのDNSに関する決定
IPv6を展開しており、DNS戦略について考えています。これは技術的な質問ではなく、「ベストプラクティス」の質問です。
内部にはActiveDirectoryがあり、ドメインコントローラーは「内部」ゾーンの両方の権限のあるDNSを処理します(例:domain.local、16.172.in-addr.arpa)およびすべてのユーザーの再帰。約1200人のユーザーがいるため、5つのドメインコントローラーはDNS再帰を簡単に処理し、権限のないゾーンについては Cisco Umbrella DNS に転送するだけです。内部ホストのAレコードとPTRレコードの両方で、ダイナミックDNSに大きく依存しています。パブリックゾーンには、 DNS Made Easy を使用します。
IPv6を検討しているので、AAAAレコードとPTRレコードの両方で、ダイナミックDNSを内部で使用する機能を維持したいと思います。 IPv6ではNAT)の必要がないため、特定のホストは外部と同じアドレスを内部で持ちます。ip6.arpaゾーン用に2つの別々のデータベース(内部データベースと外部データベース)を維持しています。 1)それでも何をすべきか?別の方法は、パブリックDNSサーバーがip6.arpaゾーンのセカンダリになることを許可するルールをファイアウォールに配置することです。インターネット全体がDCにクエリを実行できるようにすることについては話していません。直接-むしろ、DNS MadeEasy転送エージェントがそのコピーを保持できるようにします。
これを行うと、すべての内部DNSエントリが「解放」されますが、それは本当にひどいことでしょうか。
これを入力しているとき、これまでいつも行ってきたように、内部データベースと外部データベースの2つのデータベースを維持するのがおそらく最善だと思います。コミュニティはどう思いますか?
これは実際の正しい答えがないベストプラクティスの質問ですが、これらは私が自分に合った答えにたどり着くために自分自身に尋ねる質問です。
これを行うと、すべての内部DNSエントリが「解放」されますが、それは本当にひどいことでしょうか。
上司がそれがひどいと思わず、あなたがそれがひどいと思わないなら、あなたはあなたの答えを持っています。 IPv6はIPv4よりもクロールにはるかに時間がかかりますが、それでもクロールできます。 2001:db8 :: 1のDNSルックアップがYourFinancialServer.Example.co mを生成するかどうかを気にせず、管理チェーンの誰も気にしないようであれば、 EdgeがDNS権限に直面している状態で、すべてのIPv6逆引きDNSを管理し、それを1日と呼ぶことができます。
Ip6.arpaゾーン用に2つの別々のデータベース(内部データベースと外部データベース)を維持することはまだ何をすべきですか?
これは前の質問によって決定されます。それが実行されるべきである場合、次のステップは、プライベートにルーティングされたネットワークの論理的な分離を決定することです。
- 理想的な世界では、ネットワークチームは、インターネットでルーティングできないIPv6スペースのセグメントをきれいに切り分けました。これを使用して、権限のあるサーバー間で逆引きDNSを分割する方法の背後にある設計を推進できます。内部に面している再帰サーバーにフォワーダーを設定して、プライベートにルーティングされたV6スペースの逆要求を内部機関に誘導し、再帰が残りの要求を通常どおりインターネットに面している機関に送信できるようにすることができます。
- 理想的とは言えない世界では、IPv6スペースは設計の流動状態にあり、パブリックとプライベートを明確に分割するルールはありません。最悪の場合、アドレスは、明確に目的のあるネットワークに分割されることなく、ファイアウォールによってパブリックとプライベートの間で断片的に処理されます。これにより、再帰サーバーの転送ルールの管理が困難になり(ほぼ不可能)、パブリックとプライベートの間で同じ権限のあるゾーンの2つの完全に異なるバージョンを管理する必要がある場合があります。これは、デバイスが廃棄されたときにレコードを削除するためのクリーンな自動化がないと、すぐに一貫性がなくなります。