Como um servidor DNS da organização rastreia o nome do host = mapeamento do endereço IP?

1

Na rede da minha organização, se uma máquina tiver um nome de computador (nome de host), digamos, desktop-x, será possível fazer ping para essa máquina usando apenas "ping desktop-x".

Mas o ping na verdade converte desktop-x em FQDN para consultar o servidor DNS em busca do endereço IP correspondente. Portanto, se o nome de domínio da minha organização for registrado pela empresa-x em com, o FQDN da máquina será desktop-x.company-x.com

Portanto, o ping realmente consulta "qual é o endereço IP de desktop-x.company-x.com". Agora, quando o servidor DNS da organização obtém essa consulta, como ele sabe qual endereço IP está atribuído ao desktop-x, já que o desktop-x recebe um IP privado dinamicamente pelo DHCP.

Desde que o servidor DNS rastreie (hostname = > ip address) de alguma forma, por que não posso fazer o ping da mesma máquina de fora da rede com "ping desktop-x.company-x.com"?

    
por karthik ts 18.07.2018 / 19:04

1 resposta

3

desktop-x is assigned a private ip dynamically by DHCP

Existem três opções:

  1. Quando o Active Directory está em uso, as estações de trabalho se autorregistram enviando pacotes "UPDATE" do DNS para o servidor autoritativo ( que normalmente é o controlador de domínio AD).

    Isso é possível mesmo sem o AD, mas é necessário permitir atualizações não autenticadas ou configurar métodos de atualização personalizados. O AD apenas o automatiza usando Kerberos (ou seja, GSS-TSIG).

  2. Quando o DHCP está em uso, a maioria das estações de trabalho relatará seu nome de host no pacote de solicitação DHCP. O servidor DHCP entrará em contato com o servidor DNS autoritativo (possivelmente usando o mesmo DNS "UPDATE", como faz o isc-dhcpd) para inserir o nome do host no DNS.

    É exatamente assim que nomes de host locais (domínios .lan / .home) são implementados em roteadores de consumidores.

  3. Finalmente, os mapeamentos de DNS podem ser adicionados manualmente, se o servidor DHCP tiver configurado manualmente concessões para todas as máquinas, emitindo endereços estáticos.

    (Em nenhum lugar no DHCP é dito que os endereços devem ser temporários, aleatórios ou privados. Uma concessão estática atribuindo um endereço global é perfeitamente válida.)

Provided the DNS server keeps track of (hostname=>ip address) somehow, then why can't i ping the same machine from outside the network with "ping desktop-x.company-x.com"?

Às vezes você pode.

As razões comuns pelas quais isso não funcionará para mais domínios:

  1. As máquinas têm endereços IPv4 privados (RFC1918), inacessíveis fora do site - a Internet não tem nenhuma rota para eles.

    Isso geralmente é, mas nem sempre, o caso. Algumas organizações têm grandes pools de endereços IPv4 globais (por exemplo, o MIT tinha um / 8) e cada máquina pode obter um. E algumas organizações executam o IPv6, no qual todas as máquinas sempre obtêm uma.

  2. A rede está protegida por um firewall que bloqueia as conexões de entrada.

    Esta é uma obrigação se as máquinas tiverem endereços globais (independentemente da versão do IP). Bastante importante, mesmo se o endereço for privado (por trás de um NAT), mesmo que as pessoas tendam a confundir isso com o próprio NAT.

  3. As máquinas têm firewalls locais (host) que bloqueiam conexões de entrada ou apenas pings ICMP especificamente recebidos.

    Este é o padrão em sistemas Windows autônomos: eles só aceitam pings de sua sub-rede local e os soltam de qualquer outro lugar.

  4. O domínio DNS tem várias visualizações: as consultas internas veem diferentes mapeamentos do que o público em geral. Geralmente, a visualização "pública" não tem hosts internos.

    (Este não é um recurso DNS padrão, mas muitos servidores autoritativos, como o Bind, o implementam - verificando o IP de origem da consulta.)

por 18.07.2018 / 21:00

Tags