È male avere il DNS inverso per due IP che punta allo stesso nome di dominio?

9

Sto impostando un nuovo server per la mia applicazione Web (il sito verrà spostato, non è per il bilanciamento del carico o simili), che ha un indirizzo IP diverso dal mio server esistente. Il mio server attuale ha un record PTR DNS inverso impostato che punta il suo IP a mydomain.com. È male impostare un record PTR DNS inverso per il nuovo IP che punta anche a mydomain.com? O dovrei aspettare fino a quando eseguo la mia migrazione per impostare il record?

Aggiornamento : ho dimenticato di menzionare, il record A per mydomain.com indica l'indirizzo IP del vecchio server, non quello nuovo, se è importante.

domain-name-system  reverse-dns 
Daniel Vandersluis
fonte
Non mi è chiaro quale particolare servizio stia funzionando il tuo sistema. Dici dominio, stai parlando di un web server? Il record PTR è usato a malapena per HTTP, quindi probabilmente non ha alcuna importanza. La configurazione PTR errata di OTOH può danneggiare seriamente l'e-mail.
Zoredache,
Entrambi i server sono server web che inviano e ricevono e-mail (motivo per cui ho chiesto)
Daniel Vandersluis,
2
La posta in uscita dal nuovo server attirerà i punti spam. Ad esempio, SpamAssasin taggerà la posta con "RDNS_NONE" (recapitato alla rete interna da un host senza rDNS). Lo fa anche se il nuovo server, che sta inviando una mail, ha il DNS inverso corretto. Il motivo è perché l'URL non è associato a questo IP.
Robino,
Cordiali saluti, il punteggio che ottieni per questo è -1.274, quindi se la tua posta non è spam in nessun altro modo, probabilmente non te ne accorgerai nemmeno.
Robino,

Risposte:

9

Se è conveniente per te come soluzione temporanea, dovrebbe essere perfettamente accettabile. Non riesco a pensare a molti scenari in cui avere più record PTR con lo stesso nome host introdurrà problemi tecnici.

Uno scenario potenziale potrebbe essere la consegna della posta sul nuovo server. Almeno, se la ricerca diretta si risolve nel vecchio server. I server di posta instabili rimbalzeranno la posta senza che i nomi host / IP siano in grado di risolvere entrambi i modi e abbinarli.

A parte questo, e ci sto provando davvero, non riesco a pensare a nessuno. Se c'è di più, è probabile che abbia un ambito limitato come sopra.

Ammonitore
fonte
Che cosa succede se hai 100 server di posta (quindi è fail-safe), non vorresti che tutti i server rispondessero con il PTR corretto?
Alexis Wilke,
5

Se hai due IP che si risolvono con lo stesso nome di dominio, non puoi avere il DNS inverso confermato in avanti (FCrDNS) per entrambi, che è il controllo che molti schemi di autenticazione usano (come i server di posta elettronica quando decidono se consegnare la tua posta).

Per ottenere il DNS inverso confermato in avanti, un indirizzo IP deve risolversi in un nome host che risolva tale indirizzo IP e solo quell'indirizzo IP.

Tuttavia, potresti avere un IP che si risolve in sub01.example.com e un altro che si risolve in sub02.example.com e avere ancora FCrDNS per entrambi.

thomasrutter
fonte
Hmm, ma questo significa che non puoi bilanciare il carico di questi servizi? Mi chiedo se questo potrebbe superare la verifica TLS su HTTPS o LDAPS.
sorin,
Ciò non dovrebbe influire su tutti i servizi disponibili, ovvero non dovrebbe influire sulla capacità di eseguire HTTPS o LDAPS o di bilanciare il carico con molti server. Il controllo FCrDNS non deve utilizzare lo stesso nome host del nome host che si sta utilizzando per accedere al server. Può usare qualsiasi nome host; di solito un nome host interno non necessariamente visto dagli utenti finali a meno che non abbiano eseguito un controllo PTR. Tutto ciò che serve è che ogni IP univoco visibile al mondo usi qualcosa per un nome host univoco che si risolva in quell'IP.
thomasrutter,
1
Ad esempio, ho appena cercato google.com e l'IP ottenuto era 216.58.220.110. Il record inverso per questo è syd10s01-in-f14.1e100.net. Ho cercato quello e ho ottenuto lo stesso IP: 216.58.220.110. In modo che il server Google superi il controllo FCrDNS, anche se il nome utilizzato a tale scopo, syd10s01-in-f14.1e100.net, non ha nulla a che fare con il nome con cui accedo a quel server (che è google.com) o con i nomi utilizzati per cose come SSL.
thomasrutter,
4

Finché si mantiene il record A che punta a un indirizzo IP specifico (nessun round robin) ciò non dovrebbe causare alcun problema.

Naturalmente, la migliore pratica è quella di avere sempre 1 <-> 1 risoluzione per chiudere il cerchio .

C'è qualche spiegazione approfondita su digitalpoint.com . Il punto è che si tratta dell'obiettivo di progettazione di RFC, ma l'approccio pratico è: a volte non si ha nemmeno accesso ad alcune voci inverse (poiché l'ex ISP ha record non aggiornati) e non dovrebbe essere un problema (supponendo che si usi solo 1 indirizzo "live").

Quindi in breve:

  • Se vuoi che la voce DNS inversa ti "aspetti" durante la migrazione, sembra assolutamente OK.
  • Se stai utilizzando entrambi i server contemporaneamente per la produzione, non ne sono sicuro. Teoricamente è una cattiva pratica (vedi RFC 1912 ), ma non credo altro che la posta si lamenterebbe.
Karol J. Piczak
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.