需要 DNS 外部解析器？

幾年前我發現了下面顯示的圖片，當我目前正在研究 DNS 和 BIND 時，我想了解並建構這裡顯示的設置。我確實了解（聚合）僅記憶體轉發器，並且自己進行（內部）解決而不是再一次將其轉發給您的 ISP 是有意義的。隱藏的 master 和 zone slave 的設置也很有意義，但我不明白為什麼你會在這些 zone slave 前面放置“external resolvers”。為什麼不讓外部客戶端直接向這些區域從站發送查詢？插入外部解析器的額外好處是什麼？

我嘗試在 Google 上搜尋這張圖片，希望能找到任何描述此設置的文件，但可惜的是，我什至在網路上都找不到這張圖片了。

外部解析器

擁有外部解析器的一種觀點是將外部伺服器放在 DMZ 中。通常，任何可訪問 Internet 的伺服器都應與其他伺服器分開。然後可以對允許進入的內容制定更嚴格的防火牆規則。這也降低了被入侵的風險。如果有人可以訪問外部伺服器，他們將不會直接在您的伺服器 LAN 上，也可能不在加入域的伺服器上。

另一個原因是，如果有人對您的公共 DNS 發起 DDOS 攻擊，它不會關閉您的內部業務客戶端、伺服器等。

主伺服器

這將是您公司域的主副本所在的位置。這些伺服器也可能是您編輯 DNS 記錄的地方。它們將受到更高安全性的保護，以確保您的記錄安全。

區域從站

這些將是所有其他伺服器訪問內部 DNS 區域的地方。他們會比大師賽有更多的活動。

內部解析器

這些將為您的內部使用者完成大部分工作。他們將接收來自下游轉發器的請求，並執行所有遞歸查找以解決所有查詢。

僅記憶體轉發器

這些伺服器將減少內部解析器的負載。他們將記憶體所有請求，以便在本地回答常見查詢，並且不需要內部解析器再次查找。如果解析器位於異地，它們還可以提高客戶端性能。

引用自：https://serverfault.com/questions/847601