Компания, в которой я работаю, имеет локальный DNS-сервер, который отвечает на запросы для их домена, foo.com, изнутри.
Внешне мы обслуживаем DNS для foo.com с Route 53.
Проблема в том, что мы должны дублировать любые новые записи DNS, добавляя их как в локальную, так и во внешнюю зону. Удивительно, сколько раз мы забываем этот шаг.
Можно ли настроить локальную зону DNS как неавторизованную и пересылать запросы в зону Route 53, которых нет в ее файле локальной зоны?
Исследования, которые я провел до сих пор, не дали мне однозначного ответа. Возможно, я ищу неправильную терминологию.
Кроме того, если это имеет значение, они находятся на Windows Server (не уверен, какая версия, но по крайней мере 2008).
Предполагая, что это DNS-сервер Windows, обеспечивающий как рекурсивные, так и авторитетные функции, лучшее, что вы можете сделать в этом сценарии, - это создать индивидуальный NS записи, указывающие на Маршрут 53. Вам все равно придется создавать записи с обеих сторон, когда вам нужно разрешить это в обеих средах, но с этого момента вам нужно только обновить запись на стороне Маршрута 53. Единственное исключение - дети NS записи; если вы создадите NS запись для sub1.example.com, вам не нужно создавать его для sub2.sub1.example.com как вы уже определили делегацию на sub1 граница.
Что касается того, почему это не работает так, как вам хотелось бы, это связано с концепцией зональных разрезов. После того, как сервер заявил права на зону, он считает себя владельцем все данные в этой зоне, пока не будет вырезан более конкретный разрез зоны. Если разрезание зоны достигается за счет делегирования ( NS записи, упомянутые в первом абзаце), сервер больше не является авторитетным для всех имен, попадающих в новую зону.
(Более разумное решение, конечно, состоит в том, чтобы не иметь нескольких серверов, конкурирующих за власть в одной и той же зоне. Это всего лишь бандажи, вызванные вашим техническим долгом.)