2 votes

Matt Dearing avatar

Les serveurs DNS autorisés publics ET privés

Demandé el 12 de Décembre, 2017
Quand la question a-t-elle été
2171 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Re this setup:

Mon serveur DNS public autorisé à :

example.com.            A    
foo.bar.example.com.   TXT   "Hello World"

Mon serveur DNS autorisé privé à 192.168.0.2:

foo.bar.example.com.    A    "192.168.0.1"
bar.bar.example.com.  CNAME  "foo.bar.example.com"

Donc j'ai deux serveurs DNS autorisés, un dans le domaine public, un dans le domaine privé. J'ai besoin que le serveur public serve certains enregistrements TXT, mais pas d'enregistrements A, pour un sous-ensemble spécifique de domaines. Le serveur privé doit servir des enregistrements A et CNAME, uniquement à usage interne, mais ne servira pas d'enregistrements TXT.

Si mes clients ont leurs adresses IP de serveur DNS dans le mauvais ordre (public, privé), la réponse du serveur DNS public autorisé empêchera-t-elle le serveur DNS privé d'être interrogé?

Exemple:

Le client a resolv.conf configuré comme suit:

192.168.0.2

S'ils exécutent nslookup foo.bar.example.com depuis leur console, est-ce que cela résoudra en 192.168.0.1 ou le serveur DNS public leur dira-t-il que le nom n'existe pas et qu'ils doivent arrêter de chercher?

Demandé el 12 de Décembre, 2017 par Matt Dearing

Réponses

Trop de publicités?

5voto

Patrick Mevzek avatar
Patrick Mevzek Points 7707

Résoudre ne fonctionne pas comme vous le pensez. Lorsque vous avez plusieurs lignes dans votre resolv.conf, elles sont utilisées comme solution de secours : le système utilise toujours le premier serveur de noms et seulement s'il ne répond pas du tout (ce qui est différent de répondre qu'un nom n'existe pas), il interrogera alors le deuxième, et ainsi de suite. Cela s'applique pratiquement par requête.

Vous devriez configurer les choses différemment : avoir un seul serveur de noms autoritaire et si vous utilisez bind, utilisez son mécanisme de views pour répondre à différentes choses à différents clients. Laissez la marche normale de l'arborescence du DNS par les clients pour le trouver.

Mais sinon, en théorie, vous avez raison : si le serveur "public" répond effectivement et dit NXDOMAIN, la recherche s'arrêtera là. Sauf si vous mélangez les autoritaires et les récursifs (ceux dans resolv.conf), ce qui est une très mauvaise habitude. Et vous avez toujours une configuration plus compliquée que nécessaire qui vous causera des problèmes plus tard.

Répondu el 12 de Décembre, 2017 par Patrick Mevzek (7707 Points )

0 votes

Avatar de Matt Dearing

Vous dites que c'est plus compliqué que nécessaire - je donne seulement la partie de l'histoire qui est nécessaire pour répondre à la question. Cette configuration est faite de cette manière pour une bonne raison. De plus, je n'utilise pas bind; le DNS public est contrôlé par des tiers via une API & une interface web. Je ne mélange pas l'authoritative et le récursif, j'ai deux authoritatives - c'est le problème.

Commenté el 12 de Décembre, 2017 par Matt Dearing

0 votes

Avatar de Patrick Mevzek

Placer une adresse IP de serveur de noms autoritaire à l'intérieur d'un fichier /etc/resolv.conf mélange clairement les rôles autoritaires et récursifs, car ce fichier est uniquement destiné à répertorier des serveurs de noms récursifs à utiliser. Vous avez peut-être vos raisons que vous ne souhaitez pas divulguer, mais d'après ce que vous dites, je peux vous dire que ce n'est pas une configuration recommandée et je vous ai donné des idées pour faire autrement, car vous avez clairement des idées fausses sur le fonctionnement du DNS. Désolé de ne pas pouvoir en faire plus.

Commenté el 12 de Décembre, 2017 par Patrick Mevzek

0 votes

Avatar de Matt Dearing

Ahh, je n'avais pas réalisé que tu disais que les mélanger dans le fichier resolv.conf était le problème - oui, je suis d'accord avec toi là-dessus, nous ne faisons pas ça, mais j'utilisais juste cela comme exemple pour illustrer l'utilisation de serveurs autoritaires internes/externes en double.

Commenté el 13 de Décembre, 2017 par Matt Dearing

1voto

CGretski avatar
CGretski Points 101

Ceci est une configuration courante dans les réseaux Windows; où (en raison de l'intégration de l'AD DNS) le résolveur récursif est également le serveur autoritaire pour ces zones DNS.

Si une zone portant le même nom (mais avec des enregistrements différents) existe également dans le DNS public, les tentatives de requête des enregistrements publics se termineront au niveau du résolveur récursif interne (comme il est autoritaire pour cette zone, il peut déclarer de manière autoritaire que l'enregistrement n'existe pas.); ainsi la zone publique est masquée par la zone privée pour tout client utilisant le résolveur privé.

Répondu el 7 de Janvier, 2018 par CGretski (101 Points )

0 votes

Avatar de CGretski

Du fichier d'aide du serveur DNS Windows : " Important Un serveur DNS ne peut pas transférer les requêtes pour les noms de domaine dans les zones qu'il héberge. Par exemple, le serveur DNS autorisé pour la zone widgets.example.com ne peut pas transférer les requêtes en fonction du nom de domaine widgets.example.com. Le serveur DNS autorisé pour widgets.example.com peut transférer les requêtes pour les noms DNS se terminant par hr.widgets.example.com, si hr.widgets.example.com est délégué à un autre serveur DNS. "

Commenté el 9 de Janvier, 2018 par CGretski

0voto

Mohit Malviya avatar
Mohit Malviya Points 148

À mon avis, si votre n'a pas l'enregistrement A pour le domaine, alors il vient certainement au serveur DNS secondaire 192.168.0.2

Répondu el 12 de Décembre, 2017 par Mohit Malviya (148 Points )

0 votes

Avatar de Matt Dearing

Je vais avoir besoin d'une réponse plus autoritaire... Il me semble logique que le serveur d'autorité dise "non et arrêtez de chercher" et cela serait totalement justifié de le faire. Je ne suis juste pas certain que c'est ce qui se passe réellement.

Commenté el 12 de Décembre, 2017 par Matt Dearing

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X