当我注册一个新域时,我会通过在注册商的设置中为其分配域名服务器来将其发送给我的托管服务提供商。例如,使用 Digital Ocean,我输入以下内容:
ns1.digitalocean.com
ns2.digitalocean.com
ns3.digitalocean.com
然后我在我的服务器的 A 记录中添加域设置。我突然想到同一托管服务提供商的任何其他人都可以使用我拥有的域添加 A 记录。
有什么可以阻止这种情况发生吗?如果使用同一个域名服务器的 2 个不同的服务器尝试通过 A 记录为自己分配一个域,那么当您在浏览器中输入该域时,该域实际上会解析到哪里?什么可以防止同一 DNS 服务器上的域名冲突?
domain-name-system a-record dns-hosting domain-name dns-zone
我正在实施一个多租户应用程序,我的应用程序在其中托管和提供租户产品的技术文档。
现在,我正在考虑的方法是-我是主持人的文件docs.<tenant>.mycompany.com,并要求我的房客设置一个CNAME DNS记录指向docs.tenantcompany.com到docs.<tenant>.mycompany.com。
我希望该站点使用我的租户的证书启用 SSL。我想了解我的租户公司是否有通配符 SSL 证书,它是否适用于此设置,还是必须购买新的 SSL 证书docs.tenantcompany.com?
domain-name-system ssl cname-record ssl-certificate dns-zone
这个问题最初是在这里问的: 为什么 DNS 区域文件需要 NS 记录?
总结一下:“当我去我的注册商购买 example.com 时,我会告诉我的注册商我的域名服务器是 ns1.example.org 和 ns2.example.org”。
但请有人澄清以下几点:
注册后,.com 注册中心现在会有一条记录,告诉解析器需要访问 ns1.example.org 或 ns2.example.org 以找出 example.com 的 IP 地址。IP 地址位于 ns1.example.org 上的区域文件中的 A 记录中,并且在 ns2.example.org 上具有相同的副本。
但是,在此文件中,还必须有 2 个 NS 记录,其中将 ns1.example.org 和 ns2.example.org 列为名称服务器。但是由于我们已经在其中一台服务器上,这似乎是重复的信息。
最初给出的问题的答案是区域文件中列出的名称服务器是“权威的”。如果名称服务器不匹配,则权威名称服务器将优先。这一切都很好,但是解析器使用.com 注册表中列出的名称服务器到达名称服务器,如果名称服务器不匹配,那么解析器将在错误的名称服务器上查找区域文件,并且不会找不到它。
还是 .com 注册表从区域文件 ns 记录中提取名称服务器信息的情况?(但是我想如果您在不告诉注册表的情况下更改 ns 记录区域文件,那么它将无法知道在哪里查看。)
谢谢
我们有我们组织的主域(带有 AD)example.com。过去,以前的管理员创建了几个其他区域 - 例如 dmn.com、lab.example.com、dmn-geo.com 等 - 以及子域和代表,所有这些都属于不同的工程组。我们现在的 DNS 有点乱。当然,当 example.com 中的工作站上的某人需要连接到任何其他区域/子域中的系统时,这会导致问题,反之亦然(部分原因是区域传输和委派没有为大多数人正确配置) .
我们的生产 DNS 与 Active Directory 集成,但工程系统应与 AD 隔离。
我们正在讨论重组 DNS 和合并所有这些不同条目的方法。我认为我们可以采取三种不同的途径:
我喜欢创建一个委托子域,让工程师可以完全控制该子域内的自己的 DNS 结构。优点是,如果他们的 DNS 不起作用,那很可能不是我的错;)。然而,当某些事情不起作用时,责任仍然有些模糊,需要与工程部门协调来设置、配置和管理。
如果我们不委托子域,这意味着生产 IT 需要做更多的工作来处理非生产 DNS(我们基本上已经做了很多工作)。优点是我们可以完全控制所有 DNS,当出现问题时,毫无疑问谁负责修复它。我们还可以添加委托,例如 geo.eng.example.com,以便在需要时为工程提供更大的灵活性和控制力。
我真的不确定创建新区域 dmn.eng 的必要性或好处。
那么对于这种情况,行业最佳实践和建议是什么?什么解决方案最容易实现并在工程和生产之间提供无缝名称解析?我可能会遗漏的每个解决方案有哪些潜在的好处或缺陷?
补充一点信息,我们是一家相当大的制造公司。这些工程师从事研发、开发和质量保证工作。实验室通常有自己的子网或整个网络、DHCP 等。就组织和技术而言,它们有点像自己的小世界。
我们希望为工程实验室和网络保持一定程度的网络隔离,以保护我们的生产环境(参考之前关于工程师添加工程 DHCP 服务器作为权威 AD DHCP 服务器的问题 - 这不应该发生)。但是,实验室工作站上的用户需要访问我们生产网络中的资源,或者我们生产网络上工作站上的用户需要连接到实验室系统,这种情况发生的频率足以证明排序是合理的- 统一的 DNS。
现有的代表已经有工程师管理的DNS服务器,但是这些服务器所在的不同实验室的工程师之间没有通信,因此最常见的问题是子域之间的名称解析失败。由于工程师拥有这些委托服务器,我无法更正 NS 条目以使它们相互通信 - 因此具有 IT 完全拥有的非委托 DNS 的优势。但是为生产和工程管理 DNS是一件令人头疼的事,尤其是因为工程每天都会更改 DNS。但是正如 BigHomie …
我有一个看似简单的问题,但经过一番搜索却找不到确切的答案:
我知道,如果我想查找某个域名的 IP 地址,请键入,例如:
nslookup google.de
并得到
Server: 127.0.1.1
Address: 127.0.1.1#53
Non-authoritative answer:
Name: google.de
Address: 172.217.18.3
但是,我不知道我从哪里得到这个答案。据我所知,一开始我的解析器试图询问我的本地 DNS 服务器(在 Ubuntu dnsmasq 上),如果那个服务器没有答案,它会询问下一个服务器等等。但是我想知道到底是哪个服务器给出了答案。那可能吗?
我也试过
dig +trace www.google.com
它提供有关已发布服务器的所有信息,但执行完全迭代查找。我基本上喜欢这样的答案,但需要正常查找。
这是一个规范问题关于 DNS 服务器管理。
我有一百个左右的域。所有这些域都需要进行相同的配置,但是为每个域都配置一个新的区域和/或区域文件似乎是一种巨大的浪费。必须有更好的方法来自动化这个!
我想我正在做一些事情......如果我创建一个名为 的区域.,或者在我的 DNS 软件中使用其他一些功能来在A请求记录时始终返回特定的 IP ,这似乎让我非常接近我想要的结果结果。我的服务器正在对请求做出权威响应,而且管理起来要容易得多!
在名称服务器验证软件开始检查这些域之前,这非常有效。我发现我可以通过添加NS记录来消除大部分错误,但是我的软件不允许我SOA在同一个区域文件中放置多个记录。
我如何解决这个多SOA记录问题?
目前,我正在LAMP为我的登录页面、Web 应用程序和 API 使用配置。现在我想将这些东西拆分到多个虚拟服务器 (VS) 中。我不确定网络设置,在弄乱我所有的 DNS 配置之前,我想了解一下我的配置是否会崩溃。
登录页面托管在second level domain(例如myurl.com),Web 应用程序托管在较低级别的域app.myurl.com,而 api托管在api.myurl.com。我还有一个预览域:preview.myurl.com,用于测试。
由于所有内容都托管在同一个 VS 上,因此我目前还有四个不同的文件夹(landing、api、webapp、preview),它们充当每个子域的“虚拟主机”。
我的 DNS 配置如下所示:
myurl.com. A 300 123.123.123.123
www.myurl.com. CNAME 300 myurl.com.
api.myurl.com. CNAME 300 myurl.com.
app.myurl.com. CNAME 300 myurl.com.
preview.myurl.com. CNAME 300 myurl.com.
首先,我想将每个 CNAME 条目的数据更改为当前 VS 的实际 IP。所以它看起来像这样:
myurl.com. A 300 123.123.123.123
www.myurl.com. CNAME 300 myurl.com.
api.myurl.com. CNAME 300 123.123.123.123
app.myurl.com. CNAME 300 …出于好奇,我正在检查 Wireshark DNS 数据包。我可以看到有来自主机的 DNS 查询,然后是来自 DNS 服务器的 DNS 响应。一切都和预期的一样。
但是,如果进一步检查查询,可以看到服务器还发送了 NS(权威名称服务器)。我的问题是:为什么?
作为主机,我只关心IP。这是 DNS 的要点,将名称解析为 IP 地址。
为什么,作为主持人,我需要 NS 信息?
domain-name-system dns-hosting wireshark dns-server dns-zone
有没有办法自动同步BIND(9)服务器之间的所有区域,这样当我将它们添加到主服务器时,我不必向从服务器添加区域?
该A备案hello.world.example.com可以注册
hello域中的条目world.example.comhello.world域中的条目example.com 从解析名称的服务的角度来看,这两种方法之间是否存在实际差异?
据我所知,它们的解析产生了值 A 记录(IP),因此客户端无法识别回复。
dns-zone ×10
a-record ×2
cname-record ×2
dns-hosting ×2
apache2 ×1
bind ×1
dns-lookup ×1
dns-server ×1
dnsmasq ×1
domain-name ×1
internal-dns ×1
nameserver ×1
ns-record ×1
nslookup ×1
ssl ×1
subdomain ×1
wireshark ×1