Hi,
angenommen, man hat eine Domain registriert, die in den delegierten Nameservern jedoch keine Records eingetragen hat und nutzt diese ausschließlich lokal, d.h. der lokale caching Resolver hat einfach die Domain authoritativ eingetragen und die ganzen Records zeigen auf RFC1918-Adressen.
Jetzt will ich den caching Resolver von der Domain trennen und dafür authoritative Server lokal hinstellen. Ideen, die mir in den Sinn kommen:
1. Domain wird in den caching Resolvern als Stub-Zone eingetragen und zeigt auf die lokalen, authoritativen Nameserver (diese erhalten RFC1918-Adressen)
Vorteil: spart öffentliche Adressen
Nachteil: Stub-Zone
2. die authoritativen Nameserver erhalten öffentliche Adressen und werden ordentlich im Glue beim Registrar hinterlegt. Die auth. Server sind dabei jedoch split-brain und serven nach außen hin eine leere Zone, nach innen wie gehabt die Zoneninhalte. Die caching Resolver "finden" damit die Domain durch ganz normale iterative Auflösung.
Vorteil: Auflösung funktioniert "natürlicher". Man kann externen Resolvern selektiv Records präsentieren, falls doch mal nötig. DNSSEC wird nicht unmöglich(?), zumindest für lokale Resolver.
Nachteil: verbrennt öff. Adressen. Zusätzlich ist nur ein AS vorhanden, die Redundanz für "richtiges" DNS ist damit nicht gegeben, ist aber durch hauptsächlich lokale Nutzung eigtl. egal.
3. ???
Momentan tendiere ich zu 1. Gibt es gravierende Gründe für 2.? Gibt es andere Lösungen?
Edit: Umstrukturierung des Namensraums ist mittelfristig ausgeschlossen.
angenommen, man hat eine Domain registriert, die in den delegierten Nameservern jedoch keine Records eingetragen hat und nutzt diese ausschließlich lokal, d.h. der lokale caching Resolver hat einfach die Domain authoritativ eingetragen und die ganzen Records zeigen auf RFC1918-Adressen.
Jetzt will ich den caching Resolver von der Domain trennen und dafür authoritative Server lokal hinstellen. Ideen, die mir in den Sinn kommen:
1. Domain wird in den caching Resolvern als Stub-Zone eingetragen und zeigt auf die lokalen, authoritativen Nameserver (diese erhalten RFC1918-Adressen)
Vorteil: spart öffentliche Adressen
Nachteil: Stub-Zone
2. die authoritativen Nameserver erhalten öffentliche Adressen und werden ordentlich im Glue beim Registrar hinterlegt. Die auth. Server sind dabei jedoch split-brain und serven nach außen hin eine leere Zone, nach innen wie gehabt die Zoneninhalte. Die caching Resolver "finden" damit die Domain durch ganz normale iterative Auflösung.
Vorteil: Auflösung funktioniert "natürlicher". Man kann externen Resolvern selektiv Records präsentieren, falls doch mal nötig. DNSSEC wird nicht unmöglich(?), zumindest für lokale Resolver.
Nachteil: verbrennt öff. Adressen. Zusätzlich ist nur ein AS vorhanden, die Redundanz für "richtiges" DNS ist damit nicht gegeben, ist aber durch hauptsächlich lokale Nutzung eigtl. egal.
3. ???
Momentan tendiere ich zu 1. Gibt es gravierende Gründe für 2.? Gibt es andere Lösungen?
Edit: Umstrukturierung des Namensraums ist mittelfristig ausgeschlossen.