关于 IPv6 上 DNS 的决定

Question

我们正在推出 IPv6，我正在考虑我们的 DNS 策略。这不是一个技术问题——它更像是一个“最佳实践”问题。

我们在内部拥有 Active Directory，域控制器处理我们“内部”区域（例如domain.local, 16.172.in-addr.arpa）的权威 DNS以及所有用户的递归。我们有大约 1200 个用户，因此 5 个域控制器可以轻松处理 DNS 递归，只需将其不授权的区域转发到Cisco Umbrella DNS。我们严重依赖动态 DNS，包括内部主机的 A 和 PTR 记录。对于我们的公共区域，我们使用DNS Made Easy。

现在我们正在研究 IPv6，我们希望保持在内部使用动态 DNS 的能力，包括 AAAA 和 PTR 记录。由于 IPv6 中不需要 NAT，因此给定主机的内部地址与外部地址相同。为 ip6.arpa 区域维护两个独立的数据库（一个内部一个和一个外部一个）仍然应该做什么？另一种方法是在我的防火墙中放置一个规则，允许公共 DNS 服务器成为 ip6.arpa 区域的辅助服务器。我不是在谈论允许整个 Internet 直接查询我的 DC——而是允许 DNS Made Easy 传输代理保留它的副本。

这样做会“泄露”我所有的内部 DNS 条目，但这真的有那么可怕吗？

当我打字时，我想最好只维护两个数据库——一个内部数据库和一个外部数据库，就像我过去一直做的那样。社区怎么看？

Answer 1

这是一个最佳实践问题，没有真正正确的答案，但我会问自己这些问题，以获得适合我的答案。

这样做会“泄露”我所有的内部 DNS 条目，但这真的那么可怕吗？

如果你的老板不认为这很糟糕，你也不认为这很糟糕，那么你就有了答案。IPv6 的爬取时间比 IPv4 长得多，但仍然可以爬取。如果您不关心2001:db8::1的 DNS 查找是否会产生YourFinancialServer.Example.com并且您的管理链中似乎也没有人关心，您可以使用面向边缘的 DNS 来管理所有 IPv6 反向 DNS权威并收工。

是否还应该为 ip6.arpa 区域维护两个独立的数据库（一个内部数据库和一个外部数据库）？

这是由上一个问题决定的。如果这是应该做的，下一步就是确定专用路由网络的逻辑分离。

• 在理想的情况下，您的网络团队已经干净地划分了不可通过 Internet 路由的 IPv6 空间段，您可以使用它来驱动如何在权威服务器之间分割反向 DNS 的设计。您可以在面向内部的递归服务器上设置转发器，以将对私有路由 V6 空间的反向请求引导到您的内部权限，并让递归将其余请求正常发送到面向互联网的权限。
• 在不太理想的世界中，您的 IPv6 空间处于设计不断变化的状态，公共和私有之间没有明确划分的规则。在最坏的情况下，您的地址会被防火墙在公共地址和私人地址之间分割，而不会被划分为目的明确的网络。这使得递归服务器的转发规则难以（几乎不可能）管理，并且您可能必须在公共和私有之间管理相同权威区域的两个完全不同的版本。当您的设备报废时，如果没有干净的自动化来删除记录，这将很快变得不一致。