2 votes

Les serveurs DNS autorisés publics ET privés

Re this setup:

Mon serveur DNS public autorisé à :

example.com.            A    
foo.bar.example.com.   TXT   "Hello World"

Mon serveur DNS autorisé privé à 192.168.0.2:

foo.bar.example.com.    A    "192.168.0.1"
bar.bar.example.com.  CNAME  "foo.bar.example.com"

Donc j'ai deux serveurs DNS autorisés, un dans le domaine public, un dans le domaine privé. J'ai besoin que le serveur public serve certains enregistrements TXT, mais pas d'enregistrements A, pour un sous-ensemble spécifique de domaines. Le serveur privé doit servir des enregistrements A et CNAME, uniquement à usage interne, mais ne servira pas d'enregistrements TXT.

Si mes clients ont leurs adresses IP de serveur DNS dans le mauvais ordre (public, privé), la réponse du serveur DNS public autorisé empêchera-t-elle le serveur DNS privé d'être interrogé?

Exemple:

Le client a resolv.conf configuré comme suit:

192.168.0.2

S'ils exécutent nslookup foo.bar.example.com depuis leur console, est-ce que cela résoudra en 192.168.0.1 ou le serveur DNS public leur dira-t-il que le nom n'existe pas et qu'ils doivent arrêter de chercher?

5voto

Patrick Mevzek Points 7707

Résoudre ne fonctionne pas comme vous le pensez. Lorsque vous avez plusieurs lignes dans votre resolv.conf, elles sont utilisées comme solution de secours : le système utilise toujours le premier serveur de noms et seulement s'il ne répond pas du tout (ce qui est différent de répondre qu'un nom n'existe pas), il interrogera alors le deuxième, et ainsi de suite. Cela s'applique pratiquement par requête.

Vous devriez configurer les choses différemment : avoir un seul serveur de noms autoritaire et si vous utilisez bind, utilisez son mécanisme de views pour répondre à différentes choses à différents clients. Laissez la marche normale de l'arborescence du DNS par les clients pour le trouver.

Mais sinon, en théorie, vous avez raison : si le serveur "public" répond effectivement et dit NXDOMAIN, la recherche s'arrêtera là. Sauf si vous mélangez les autoritaires et les récursifs (ceux dans resolv.conf), ce qui est une très mauvaise habitude. Et vous avez toujours une configuration plus compliquée que nécessaire qui vous causera des problèmes plus tard.

0 votes

Vous dites que c'est plus compliqué que nécessaire - je donne seulement la partie de l'histoire qui est nécessaire pour répondre à la question. Cette configuration est faite de cette manière pour une bonne raison. De plus, je n'utilise pas bind; le DNS public est contrôlé par des tiers via une API & une interface web. Je ne mélange pas l'authoritative et le récursif, j'ai deux authoritatives - c'est le problème.

0 votes

Placer une adresse IP de serveur de noms autoritaire à l'intérieur d'un fichier /etc/resolv.conf mélange clairement les rôles autoritaires et récursifs, car ce fichier est uniquement destiné à répertorier des serveurs de noms récursifs à utiliser. Vous avez peut-être vos raisons que vous ne souhaitez pas divulguer, mais d'après ce que vous dites, je peux vous dire que ce n'est pas une configuration recommandée et je vous ai donné des idées pour faire autrement, car vous avez clairement des idées fausses sur le fonctionnement du DNS. Désolé de ne pas pouvoir en faire plus.

0 votes

Ahh, je n'avais pas réalisé que tu disais que les mélanger dans le fichier resolv.conf était le problème - oui, je suis d'accord avec toi là-dessus, nous ne faisons pas ça, mais j'utilisais juste cela comme exemple pour illustrer l'utilisation de serveurs autoritaires internes/externes en double.

1voto

CGretski Points 101

Ceci est une configuration courante dans les réseaux Windows; où (en raison de l'intégration de l'AD DNS) le résolveur récursif est également le serveur autoritaire pour ces zones DNS.

Si une zone portant le même nom (mais avec des enregistrements différents) existe également dans le DNS public, les tentatives de requête des enregistrements publics se termineront au niveau du résolveur récursif interne (comme il est autoritaire pour cette zone, il peut déclarer de manière autoritaire que l'enregistrement n'existe pas.); ainsi la zone publique est masquée par la zone privée pour tout client utilisant le résolveur privé.

0 votes

Du fichier d'aide du serveur DNS Windows : " Important Un serveur DNS ne peut pas transférer les requêtes pour les noms de domaine dans les zones qu'il héberge. Par exemple, le serveur DNS autorisé pour la zone widgets.example.com ne peut pas transférer les requêtes en fonction du nom de domaine widgets.example.com. Le serveur DNS autorisé pour widgets.example.com peut transférer les requêtes pour les noms DNS se terminant par hr.widgets.example.com, si hr.widgets.example.com est délégué à un autre serveur DNS. "

0voto

Mohit Malviya Points 148

À mon avis, si votre n'a pas l'enregistrement A pour le domaine, alors il vient certainement au serveur DNS secondaire 192.168.0.2

0 votes

Je vais avoir besoin d'une réponse plus autoritaire... Il me semble logique que le serveur d'autorité dise "non et arrêtez de chercher" et cela serait totalement justifié de le faire. Je ne suis juste pas certain que c'est ce qui se passe réellement.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X