Регистрация Войти
Рейтинг:1
avatar Server

Можно ли создать как статическую, так и динамическую запись A для одного и того же хоста на внутреннем DNS-сервере?

флаг ru
Impossible

Я работаю над исследованием, связанным с рисками, связанными с небезопасными динамическими обновлениями DNS. Предположим, что настроен внутренний DNS, который имеет сочетание статических и динамически создаваемых адресов. Рассмотрим среду DNS, интегрированную в Windows AD.

Мне нужна помощь по нескольким из приведенных ниже запросов

  1. Может ли сосуществовать статическая и динамически созданная запись A для одного и того же хоста, относящаяся к разным IP-адресам на DNS-сервере? (например, динамическая запись, созданная новой системой, представленной в сети с тем же именем хоста)
  2. Если да, то как будет происходить разрешение DNS в таких случаях? Может ли DNS-запрос разрешить неправильную динамическую запись A вместо статической записи A?
  3. Можно ли этого избежать, используя безопасную динамическую конфигурацию DNS вместо небезопасных обновлений ddns? Если да, то как безопасный DDNS может предотвратить такой сценарий.

Любая помощь в этом вопросе будет весьма полезна.

Заранее спасибо.

94
0 + 0
Рейтинг:2
Patrick Mevzek avatar Server
флаг cn
Patrick Mevzek

Может ли сосуществовать статическая и динамически созданная запись A для одного и того же хоста?

Имя может разрешаться в несколько IP-адресов, то есть иметь несколько А или же АААА записи. Клиенты получат весь их набор при запросе имени.

То, как предоставляются IP-адреса, не имеет отношения к вышеизложенному, за исключением того, что в «динамических» случаях часто обновление фактически является заменой, то есть: «пожалуйста, разрешите X на адрес Y сейчас, после удаления всех существующих IP-адресов для этого".

Так что все зависит от того, как работает ваш динамический материал. Если это добавка, то вы можете иметь смесь.

Если да, то как будет происходить разрешение DNS в таких случаях? Может ли DNS-запрос разрешить неправильную динамическую запись A вместо статической записи A?

Если есть несколько А записи, все они возвращаются. У клиента нет возможности узнать, откуда они поступают (динамические или статические).

Можно ли этого избежать, используя безопасную динамическую конфигурацию DNS вместо небезопасных обновлений ddns? Если да, то как безопасный DDNS может предотвратить такой сценарий.

Да, а также сделать открытой для динамических обновлений только подзону вашей зоны, а не всю зону.

0 + 0
флаг ru
Impossible
Спасибо за быстрый ответ, у меня есть продолжение. Согласованные динамические IP-адреса здесь не при чем. Беспокойство вызывает внедрение небезопасных обновлений DDNS. Предположим, есть статическая DNS-запись. xyz : 1.1.1.1 : А и теперь новый хост вводится в сеть с тем же именем хоста xyz, когда это пытается зарегистрировать свою запись DNS динамически, что происходит? 1. Создает ли он еще одну запись DNS, которая будет динамической? 2. Обновляет ли он существующую статическую запись DNS новым IP-адресом? 3. Отказывается ли он от создания новой записи? Рассмотрим интегрированный DNS Windows AD для сценария
0
Ответить
Patrick Mevzek avatar
флаг cn
Patrick Mevzek
Все 3 пункта зависят от реализации, поэтому они могут различаться, и вы указываете, что это интегрированный DNS Windows AD, о котором у меня нет знаний, извините. Вы должны указать детали своего комментария в своем основном вопросе и, в частности, платформу, которая поможет людям дать более точный ответ, мой - просто общий.
0
Ответить
флаг ru
Impossible
Понятно. Большое спасибо, что нашли время и ответили на тему. Я обновил среду сейчас.
0
Ответить
Tommiie avatar
флаг bw
Tommiie
Я считаю, что вы можете настроить его так, чтобы только DHCP-сервер мог отправлять динамические обновления в DNS, а не клиенты, отправляющие динамическое обновление DNS после получения обновления от DHCP-сервера. Это также предотвращает проблемы, поскольку только ваши доверенные DHCP-серверы могут отправлять обновления, а не каждый клиентский компьютер в сети.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.