Criando registros NS apontando para registros NS

Question

Criando registros NS apontando para registros NS

#1 resposta do (3 votos)

1

Temos uma situação em que, às vezes, precisamos fazer com que nossos clientes configurem os registros do NS para apontar para o nosso serviço.

Gostaria de tornar isso o mais fácil possível e queria saber se posso criar registros NS que resolvam os registros NS reais.

Por exemplo, o cliente adiciona:

joebloggs.com NS joebloggs.com.ns1.mydomain.com
joebloggs.com NS joebloggs.com.ns2.mydomain.com

E eu adiciono a mydomain.com:

joebloggs.com.ns1.mydomain.com NS the.real.ns1.server.com
joebloggs.com.ns2.mydomain.com NS the.real.ns2.server.com

Isso funcionaria? É uma boa prática? Devo fazer com que cada um dos falsos registros NS apontem para os dois registros NS reais? (assim)

joebloggs.com.ns1.mydomain.com NS the.real.ns1.server.com
joebloggs.com.ns1.mydomain.com NS the.real.ns2.server.com

joebloggs.com.ns2.mydomain.com NS the.real.ns1.server.com
joebloggs.com.ns2.mydomain.com NS the.real.ns2.server.com

Parece que usar o CNAME não é apropriado. No DNS, um IN NS pode apontar para um CNAME?

O acima seria ok? Existe uma solução melhor?

domain-name-system nameserver

por DomE 23.02.2018 / 06:39

1 resposta

Tags domain-name-system nameserver

O AWS CloudFront pode ser usado sem o ec2 server? Erro ao executar o script do powershell para fazer backup de zonas de DNS

score 3 · Accepted Answer

Isso não funcionará assim.

Você precisaria publicar registros A / AAAA para joebloggs.com.ns1.mydomain.com e joebloggs.com.ns2.mydomain.com , já que a parte RDATA de um registro NS é um nome de host que precisa ser contatado e, portanto, deve ter registros A / AAAA. O segundo conjunto de registros NS nunca seria consultado, pois os rótulos não são zonas com um SOA.

O NS RDATA pode ser um CNAME, mas isso não é recomendado.

Eu não vejo exatamente o que você tenta fazer / ocultar fazendo coisas desse tipo. Em vez disso, você pode seguir um destes procedimentos:

dê aos seus clientes os registros verdadeiros de NS; esta é a solução recomendada, muito acima de todas as outras
dê a eles qualquer outro tipo de registro NS, certificando-se de que eles resolvam os mesmos registros A / AAAA que os verdadeiros servidores de nomes (isso tornará as mudanças de endereço IP muito complicadas); contanto que você os provisione com seus registros A / AAAA, pode ser joebloggs.com.ns1.mydomain.com etc. ou mesmo ns1.joebloggs.com etc. também chamados de servidores de nomes de vaidade; este último caso envolve, no entanto, criar registros de cola no registro por meio do registrador patrocinador, o que criaria muito mais trabalho do que o desejado para quase nenhum benefício.

Em resumo, por que você quer (tentar) ocultar os verdadeiros servidores de nomes de seus clientes?