Question Existe-t-il des noms pour les conceptions DNS typiques (et, le cas échéant, quelles sont les plus courantes)?


Je ne suis pas aussi compétent pour configurer le DNS que je le souhaiterais. Quels sont les schémas de conception DNS courants?

EDIT: Gah, il est difficile d'expliquer ce que je veux dire! Je voudrais apprendre à classer / configurer différents styles de réseaux (par exemple: existe-t-il un terme pour les réseaux qui ont des enregistrements intranet qu'ils ne transfèrent pas par rapport aux réseaux qui conservent des enregistrements entièrement publics? Y a-t-il des termes pour un réseau qui utilise les DNS dynamiques ... existe-t-il un terme pour les réseaux qui utilisent l'équilibrage de charge ...)?


5
2018-05-24 04:27


origine




Réponses:


L'un des 'types' les plus courants est 'Split-Horizon'ou simplement' diviser 'DNS.

C'est là que le serveur DNS donne des résultats différents selon l'origine de la requête. Il est plus couramment utilisé dans une organisation où les personnes sont largement distribuées (hôtes 'locaux', hôtes WAN ou hôtes Internet), qui peuvent toutes bénéficier d'une redirection vers des copies différentes du même serveur, ou du même serveur, mais certaines d'entre elles le sont. étant donné l'adresse interne et certains reçoivent l'adresse externe (généralement NATted).


7
2018-05-23 18:56



maintenant on cuisine. c'est un terme pratique à savoir :-) - username
Certaines personnes l'appellent le cerveau divisé. - duffbeer703


Primaire non répertorié (ou Shadow Primary, Unlisted / Shadow Master) est une configuration souvent trouvée dans des intranets strictement sécurisés. En bref, il s’agit d’un serveur principal qui n’a pas d’enregistrement NS dans le domaine parent. En d'autres termes, serveur principal sans délégation. La délégation est censée indiquer un ou plusieurs esclave serveurs à la place.

Scénario: Votre société ACME dispose d'un intranet et du serveur DNS principal, utilisé par la plupart des clients. Il héberge la zone "intranet.acme.com". Vous configurez maintenant un sous-réseau strictement sécurisé, avec un serveur DNS et un domaine distincts "finances.intranet.acme.com".

  • Vous souhaitez que l'ensemble de l'organisation puisse interroger les enregistrements DNS.
  • Vous ne voulez pas que toute l'organisation ait du trafic réseau sur votre serveur DNS.
  • Vous voulez être le seul à modifier les enregistrements DNS.

Solution: Ne spécifiez pas votre serveur en tant que NS pour "finances.intranet.acme.com". Au lieu de cela, spécifiez un autre serveur en tant que NS, à condition que vous puissiez convaincre l’administrateur d’héberger «finances.intranet.acme.com» en tant qu’esclave. (Le serveur DNS principal de l'organisation, qui vous déléguerait le sous-domaine, s'avère étonnamment être un bon choix pour un tel esclave.) Votre précieux serveur local sera désormais pratiquement invisible dans la hiérarchie DNS. Il fournira uniquement des transferts de zone à l'esclave et (éventuellement) une réponse aux requêtes d'un ensemble de clients de votre choix.

NB: c'est à vous de choisir le serveur que vous spécifiez dans l'enregistrement SOA. Il peut s'agir de votre serveur "non répertorié", car l'enregistrement SOA n'est pas utilisé pour parcourir la hiérarchie DNS.


De même, vous pouvez également créer esclave non répertorié serveur - serveur esclave pour un domaine, non répertorié dans les enregistrements NS du domaine. Là encore, ce serveur ne recevra que le trafic des clients connaissant l'adresse IP, son adresse ne pouvant être obtenue d'aucun autre serveur DNS. Il répondra aux requêtes comme n'importe quel autre esclave: avec autorité et rapidement (c'est-à-dire en utilisant uniquement un fichier de disque local).


Un autre schéma, quelque peu incompatible avec le concept de "serveur non répertorié" ci-dessus, mais qui vaut la peine d’être connu. Author of dnscache et tinydns recommandent que les serveurs DNS soient strictement divisés en deux types:

  • Cache DNS (alias serveur récursif uniquement, mais j’ai le sentiment que c’est un abus de langage) - un serveur qui n’a pas de données faisant autorité, mais qui effectue des requêtes récursives et itératives pour le compte des clients; il cache les réponses;
  • serveur faisant autorité (alias serveur non récursif) - un serveur qui ne répond qu'aux requêtes concernant ses données faisant autorité, mais n'effectue pas de requêtes récursives ni itératives pour le compte de qui que ce soit. Ce serveur n'a pas besoin d'implémenter le cache, car il n'a jamais besoin de répondre de manière non autoritaire. Ce serveur est inutile pour les clients normaux, car ils ont besoin que leurs questions soient répondues complètement (de manière récursive). Les "clients" censés l'interroger sont d'autres serveurs DNS - pour être plus précis: les caches DNS.

Du point de vue de la sécurité, le cache DNS est toujours très vulnérable aux attaques par empoisonnement (enregistrements DNS factices) et autres types d'attaque, car il doit naturellement se connecter à de nombreux serveurs DNS non fiables sur Internet. Donc, les réponses faisant autorité devraient être servies par un logiciel différent, car vous voulez vraiment vous assurer que votre Le serveur DNS ne se propage pas de manière fausse, faisant autorité données sur votre domaine à l'ensemble de l'Internet.


5





très probablement, vous verrez:

  • résolveur dns récursif avec cache. machine qui "fait le travail" de répondre aux requêtes DNS pour les clients de votre réseau local. vous ne voulez pas rendre cette fonctionnalité [résolution DNS récursive] accessible pour tous les internautes. il est considéré comme dangereux - peut être utilisé pour les attaques par amplification.
  • DNS primaires et secondaires - si vous allez héberger un serveur DNS faisant autorité en tant que source de réponses pour certaines zones [par exemple, votreentreprise.com ou - probablement pas dans votre cas. .153.152.151.in-addr.arpa - pour les réseaux sociaux c'est la résolution de l'adresse IP en nom d'hôte]. éventuellement, vous voudrez peut-être créer des DNS primaires / secondaires privés au sein de votre entreprise, uniquement pour un usage intranet [par exemple, serveur de domaine pour Active Directory de micorsoft]

il peut également y avoir d’autres cas - par exemple, un transitaire DNS qui transfère simplement les requêtes DNS entrantes à d’autres serveurs de noms.

dyndns est un service spécifique lié au programme de mise à jour exécuté sur votre ordinateur ou votre routeur. vous serez probablement le client plutôt que l'opérateur. Le client dyndns vérifie si votre machine a changé d'adresse (par exemple, en raison d'une reconnexion à l'opérateur adsl) et, si tel est le cas, envoie la mise à jour à dyndns operatortelling myhost.somedyndnsoperatorname.net devrait maintenant pointer vers le nouvel ip - 123.123.123.321.

vous pouvez jeter un oeil à Wikipédia Pour plus d'informations ou décrivez votre cas en détail pour obtenir une réponse plus précise.


3





Voir ma réponse à une question similaire où je définis:

  • serveurs faisant autorité
  • serveurs récursifs
  • résolveurs de tronçons
  • transitaires

3