Existem nomes para projetos típicos de DNS (e, em caso afirmativo, quais são os mais comuns)?

5

Não sou tão proficiente na configuração do DNS quanto gostaria. Quais são alguns esquemas comuns de design de DNS?

EDIT: Gah, é difícil explicar o que eu quero dizer! Estou interessado em aprender como classificar / configurar vários estilos de redes (por exemplo: existe um termo para redes que possuem registros de intranet que não transferem vs redes que mantêm registros públicos inteiros ... há termos para uma rede que usa dns dinâmicos ... existe um termo para redes que usam balanceamento de carga ...)?

    
por username 24.05.2009 / 05:48

4 respostas

7

Um dos "tipos" mais comuns é o Split-Horizon 'ou simplesmente o DNS' dividido ' .

Aqui é onde o servidor DNS fornece resultados diferentes dependendo de onde a consulta está vindo. É mais comumente usado em uma organização onde as pessoas são amplamente distribuídas (hosts 'locais', hosts WAN ou hosts da Internet), todos os quais podem se beneficiar de serem redirecionados para diferentes cópias do mesmo servidor ou do mesmo servidor, mas alguns são dado o endereço interno e alguns recebem o endereço externo (geralmente NATted).

    
por 24.05.2009 / 06:27
5

Principal não listado (também conhecido como shadow principal, unlisted / shadow master) é uma configuração geralmente encontrada em intranets estritamente seguras. Em resumo, este é um servidor primário que não possui registro NS no domínio pai. Em outras palavras, servidor primário sem delegação. A delegação deve apontar para um ou mais servidores escravos .

Cenário: Sua empresa ACME possui uma intranet e o servidor DNS principal, usado pela maioria dos clientes. Ele hospeda a zona "intranet.acme.com". Agora, você está configurando uma sub-rede estritamente segura, com um servidor DNS e um domínio "finances.intranet.acme.com" separados.

  • Você deseja que toda a organização possa consultar os registros DNS.
  • Você não deseja que toda a organização tenha tráfego de rede em seu servidor DNS.
  • Você quer ser o único a alterar os registros DNS.

Solução: não especifique seu servidor como NS para "finances.intranet.acme.com". Em vez disso, especifique algum outro servidor como NS, contanto que você possa convencer o administrador a hospedar "finances.intranet.acme.com" como escravo. (O servidor DNS principal da organização, que delegaria o subdomínio para você, surpreendentemente é uma boa escolha para esse escravo.) Seu precioso servidor local agora ficará praticamente invisível na hierarquia do DNS. Ele só fornece transferências de zona para o escravo e (opcionalmente) responde a consultas de um conjunto de clientes de sua escolha.

NB: cabe a você qual servidor você especifica no registro SOA. Pode ser o seu servidor "não listado", pois o registro SOA não é usado para percorrer a hierarquia do DNS.

Da mesma forma, você também pode criar um servidor escravo não listado - um servidor escravo para um domínio, que não está listado nos registros NS do domínio. Novamente, este servidor receberá apenas tráfego de clientes que conhecem o endereço IP, pois seu endereço não pode ser obtido de nenhum outro servidor DNS. Ele responderá às consultas como qualquer outro escravo: com autoridade e rapidez (ou seja, usando apenas o arquivo de disco local).

Outro esquema, que é um pouco incompatível com o conceito "servidor não listado" acima, mas vale a pena conhecer. O autor do dnscache e tinydns recomenda que os servidores DNS sejam estritamente divididos em dois tipos:

  • Cache DNS (também conhecido como servidor recursivo somente , mas acho que isso é um nome impróprio) - um servidor que não possui dados autoritativos, mas realiza consultas recursivas e iterativas em nome do clientes; armazena as respostas em cache;
  • servidor somente de autoridade (também conhecido como servidor não-recursivo ) - um servidor que responde a consultas apenas sobre seus dados oficiais, mas não executa consultas recursivas nem iterativas em nome de ninguém. Este servidor não precisa implementar o cache, pois ele nunca precisa responder de maneira não autorizada. Esse servidor é inútil para clientes normais, porque eles precisam que suas perguntas sejam respondidas completamente (recursivamente). Os "clientes" que devem consultá-lo são outros servidores DNS - para ser mais preciso: caches DNS.

Do ponto de vista da segurança, o cache do DNS é sempre muito vulnerável a envenenamentos (registros DNS falsos) e a outros tipos de ataques, porque naturalmente ele precisa se conectar a muitos servidores DNS não confiáveis pela Internet. Portanto, as respostas autoritativas devem ser fornecidas por um software diferente, já que você realmente quer ter certeza de que o seu servidor DNS não divulgue dados autoritativos sobre seu domínio para toda a Internet .

    
por 15.06.2009 / 23:36
3

provavelmente você verá:

  • resolvedor de DNS recursivo com o cache. máquina que 'faz o trabalho' de responder consultas DNS para clientes na sua rede. você não deseja tornar essa funcionalidade [resolução de DNS recursiva] acessível para toda a Internet. é considerado prejudicial - pode ser [ab] usado para ataques de amplificação de ddos.
  • dns'es principais e secundários - se você for hospedar um servidor dns que seja uma fonte autorizada de respostas para alguma zona [por exemplo, suaempresa.com ou - provavelmente não no seu caso .153.152.151.in-addr.arpa - para rev dns que é a resolução do endereço IP no nome do host]. possivelmente você pode querer fazer DNS privado / secundário dentro de sua corporação apenas para uso na intranet [por exemplo, servidor de domínio para o diretório ativo do micorsoft]

também pode haver outros casos - por exemplo, encaminhador de DNS que apenas encaminha as consultas de DNS recebidas para outros servidores de nomes.

O dyndns é um serviço específico que está vinculado ao programa de atualização em execução na sua máquina ou roteador. Provavelmente você será o cliente, e não o operador. O cliente dyndns verifica se a sua máquina mudou de endereço [por exemplo, devido à reconexão com o operador do adsl] e, em caso afirmativo, envia uma atualização para o dyndns operatortelling myhost.somedyndnsoperatorname.net deve apontar para o novo ip - 123.123.123.321.

você pode dar uma olhada em wikipedia para mais informações ou descrever seu caso em detalhes para obter uma resposta mais precisa.

    
por 23.05.2009 / 20:56
3

Veja minha resposta para uma pergunta semelhante onde eu defino:

  • servidores autoritativos
  • servidores recursivos
  • resolvedores de stub
  • encaminhadores
por 13.04.2017 / 14:14