更新策略 DNS 部署选项 - BlueCat Integrity - 9.5.0

管理指南
Locale
中文 (大陆)
Product name
BlueCat Integrity
Version
9.5.0

更新策略 DNS 部署选项对 DNS 更新的控制比允许动态更新选项更多。更新策略提供了更多选项用于匹配客户端的身份以及确定客户端可能更新的资源记录。

更新策略允许动态更新选项是互斥的,通常不能在 Address Manager 中设置为相同级别。

要设置更新策略 DNS 部署选项:

  1. 从配置下拉菜单中,选择配置
  2. 选择 DNS 选项卡。选项卡会记住上次处理的页面,因此请再次选择该选项卡以确保您在配置信息页面上。
  3. 转至要设置 DNS 部署选项的级别,然后单击部署选项选项卡。部署选项选项卡显示在配置、视图、区域、IP 块和 IP 网络级别。
  4. 部署选项下,单击新建,然后选择 DNS 选项
  5. 选项列表中,选择更新策略。“更新策略”字段显示在页面上。
  6. 使用以下字段定义更新策略:
    • 权限 — 确定客户端是否可以执行更新。选择“授予”以允许匹配的客户端执行更新。选择拒绝以阻止匹配的客户端执行更新。
    • 身份 — 指定匹配客户端的条件。选择名称以指定客户端名称、通配符名称或 GSS-TSIG Kerberos 主体。选择密钥以指定 TSIG 密钥。当选择名称时,身份字段旁会出现一个文本字段;输入客户端名称、DNS 通配符或 GSS-TSIG Kerberos 主体。指定 Kerberos 主体的惯例因客户端类型及其执行的角色而异。
      指定 Kerberos 主体时,请遵循以下惯例:
      客户类型 Kerberos 主体惯例
      当 DHCP 客户端租用 IP 地址时,DHCP 服务器执行 DNS 注册

      惯例serviceName/hostName@REALM

      例如:对于名为 DHCP 的服务,DDNS 主机 host123.example.com,以及域 EXAMPLE.COM,输入 Kerberos 主体:DHCP/host123.example.com@EXAMPLE.COM
      所有其他 DNS 客户端

      惯例serviceName/hostName@REALM

      例如:对于名为 DHCP 的服务,DDNS 主机 host123.example.com,以及域 EXAMPLE.COM,输入 Kerberos 主体:DHCP/host123.example.com@EXAMPLE.COM

      选择密钥时,在 TSIG 选项卡上创建的 TSIG 键的下拉菜单出现。从列表中选择一个 TSIG 密钥。

    • Nametype — 确定更新策略的匹配条件。从列表中选择名称类型:
      名称类型 描述
      subdomain 当要更新的名称与名称字段中的值相同或是其子域时匹配。
      self 当要更新的名称与身份字段中的值匹配时匹配。使用此选项时,在身份名称字段中输入相同的完全限定域名。
      name 当要更新的名称与名称字段中的值相同时匹配。
      wildcard 当要更新的名称是与名称字段中的值匹配的 DNS 通配符时匹配。
      selfsub 当要更新的名称与身份字段中的值相同或是其子域时匹配。使用此选项时,在身份名称字段中输入相同的值。
      selfwild 当要更新的名称与身份字段中的值匹配的 DNS 通配符时匹配。
      krb5-self 当客户端的 MIT Kerberos 主体与身份字段中的值匹配时匹配。
      ms-self 当客户端的 Microsoft Kerberos 主体与身份字段中的值匹配时匹配。
      krb5-subdomain 当客户端的 MIT Kerberos 主体与身份字段中的值匹配或在其子域时匹配。
      ms-subdomain 当客户端的 Microsoft Kerberos 主体与身份字段中的值匹配或在其子域时匹配。
      tcp-self 当要更新的名称通过 TCP 发送,并且客户端的 IP 地址与 in-ADDR.ARPA 或 IP6.ARPA 名称空间匹配时匹配。
      6to4-self 允许 6to4 前缀通过 6to4 网络中或相应的 IPv4 地址的任何 TCP 连接进行更新。
    • 名称 — 指定用于匹配的完全限定域名。输入完全限定的域名。
      注: 必须根据以下规则设置名称字段:
      • 如果名称类型设置为 selfselfsubselfwild名称字段值必须包含句点 (.) 符号或与身份相同的值。
      • 如果名称类型设置为selfkrb5ms-selfsubdomainms-subdomainkrb5-subdomaintcp-self6to4-self名称字段值必须始终为句点 (.) 符号。
      • 对于所有其他名称类型值,必须设置名称值。
    • RR 类型 — 定义要进行匹配和更新的资源记录。可以选择两个宽的记录范围,也可以创建自定义记录列表。选择要更新的资源记录类型:
      • 默认 — 选中时,策略匹配除 RRSIG、NS、SOA、NSEC 和 NSEC3 之外的所有资源记录类型。
      • 任何 — 选中时,策略匹配除 NSEC 和 NSEC3 之外的所有资源记录类型。
      • 自定义 — 选中时会出现一个下拉列表。要创建资源记录的自定义列表,请从列表中选择一个或多个记录类型。要选择单个记录类型,请在列表中单击它。要选择多个记录类型,请在列表中按住 CTRL 键单击它们。

        单击添加以将策略定义添加到更新策略。

        要调整列表中策略定义的位置,请选择定义并单击上移下移以将其在列表中上移或下移,或在列表中单击并拖动策略定义。

        要从列表中移除策略定义,请选择该策略定义,然后单击移除

  7. 服务器下,选择要应用该选项的服务器:
    • 全部服务器 — 将部署选项应用于配置中的所有服务器。
    • 服务器组 — 将部署选项应用于配置中的特定服务器组。从下拉菜单中选择一个服务器组。
    • 指定的服务器 — 将部署选项应用于配置中的特定服务器。从下拉菜单中选择服务器。
    注: 如果将部署选项应用于服务器组中的特定服务器,则无法覆盖在服务器组级别的配置级别设置的部署选项。
  8. 切换控制下,根据需要添加注释。
  9. 单击添加