标签: domain-name-system

配置 Windows 环境以允许我使用 DNS CNAME 来引用服务器需要什么过程？

我想这样做，以便我可以将我的服务器命名为 SRV001，但仍然\\file 指向该服务器，因此当 SRV002 替换它时，我不必更新人们拥有的任何链接，只需更新 DNS CNAME 和每个人将指向新服务器。

我正在运行全新安装的 Linux Mint Nadia (14)。我正在按照 Vagrant Getting Started上的说明进行操作，但卡在了Provisioning 上。似乎 Vagrant 盒子无法连接到外部，所以我无法使用 Chef 或 Puppet 安装任何东西。

在基本的 Vagrant 中resolve.conf包含nameserver 10.0.2.3. 但是有了那套我无法 ping us.archive.ubuntu.com。

如果我将其更改为，8.8.8.8那么我可以 pingus.archive.ubuntu.com但它不会保持设置状态，并且在重新启动后它会更改回10.0.2.3- 因此配置再次失败。

理想情况下，我希望10.0.2.3在我的设置上工作。如果失败，我想要一种永久更改的方法，resolv.conf以便我可以进行配置。

指向同一个域的多个 A 记录似乎几乎专门用于将 DNS 轮询作为一种廉价的负载平衡技术来实现。

针对 DNS RR 的常见警告是它不利于高可用性。当 1 个 IP 出现故障时，客户端将继续使用它几分钟。

通常建议使用负载平衡器作为更好的选择。

这两种说法都不完全正确：

1. 当流量为 HTTP 时，大多数 HTML 浏览器能够自动尝试下一条 A 记录（如果前一条记录出现故障），而无需进行新的 DNS 查找。阅读此章节3.1和这里。

2. 当涉及多个数据中心时，DNS RR 是在它们之间分配流量的唯一选择。

那么，对于多个数据中心和 HTTP 流量，使用 DNS RR 是确保在一个数据中心出现故障时立即进行故障转移的唯一方法吗？

谢谢，

华伦天奴

编辑：

• 当然，每个数据中心都有一个带有热备份的本地负载均衡器。
• 为即时故障转移牺牲会话亲缘关系是可以的。
• AFAIK DNS 建议数据中心而不是另一个数据中心的唯一方法是仅回复与该数据中心关联的 IP（或多个 IP）。如果数据中心变得无法访问，那么所有这些 IP 也无法访问。这意味着，即使智能 HTML 浏览器能够立即尝试另一个 A 记录，所有尝试都将失败，直到本地缓存条目过期并完成新的 DNS 查找，获取新的工作 IP（我假设 DNS 自动建议给一个一个失败时的新数据中心）。因此，“智能 DNS”不能保证即时故障转移。
• 相反，DNS 循环允许它。当一个数据中心出现故障时，智能 HTML 浏览器（大多数）会立即尝试将其他缓存的 A 记录跳转到另一个（工作）数据中心。因此，DNS 循环不能保证会话亲和性或最低的 RTT，但当客户端是“智能”HTML 浏览器时，它似乎是确保即时故障转移的唯一方法。

编辑2：

• 有些人建议将 TCP Anycast 作为最终解决方案。在此纸（第6章）中说明了选播器故障切换是关系到BGP收敛。出于这个原因，任播可以使用 15 分钟到 20 秒来完成。在为此优化拓扑的网络上，20 秒是可能的。可能只有 …

DNS 中是否允许拥有指向另一个 CNAME 记录的 CNAME 记录？

我们需要它的原因是我们有一个主机名，我们希望在我们的网络服务器计算机的 IP 地址中查找它。我们还有另一台备用的网络服务器计算机，可以在第一台计算机死亡的情况下激活它。在这种情况下，我们很快就需要将主机名指向备用 Web 服务器计算机的 IP 地址。

不幸的是，主机名驻留在 DNS 域中，由于依赖于其他系统管理员的手动操作，任何更改都需要很长时间。但是我们有另一个 DNS 域，我们可以在其中快速执行更改。拥有 CNAME 到 CNAME 链似乎是一个可能的解决方案。但允许吗？网络浏览器会理解它吗？

显然它是一个 URL 缩短器。它在 Chrome 和 Firefox 中解决得很好。这如何成为有效的顶级域？

更新：对于那些说这是浏览器恶作剧的人，为什么：http://com./不带我去：http://www.com/？

而且，浏览器是否会从地址栏中的实际内容以外的其他地方向您发送响应？除了框架集和类似的东西，我认为浏览器非常努力地仅从地址栏中的站点向您发送内容，以帮助防范网络钓鱼。

这是一个关于 DNS 传播的规范问题

传播各种类型的记录需要多长时间？
有些传播速度比其他快吗？
为什么 DNS 记录传播需要时间？它是如何工作的？

我有一个关于 SPF 记录的快速问题：它们是否需要存在于所有子域中？

假设我有一个包含 domain.com SPF 信息的 TXT 记录

假设我有一个单独的电子邮件域 subdomain.domain.com

domain.com 的 SPF 政策/信息是否也适用于子域？还是我也需要为此添加单独的 TXT 记录？

我正在阅读有关Google 新公共 DNS 服务的一些说明：

• 性能优势
• 安全优势

我在安全部分注意到这一段：

在普遍实施针对 DNS 漏洞的标准全系统解决方案（例如 DNSSEC2 协议）之前，开放式 DNS 解析器需要独立采取一些措施来缓解已知威胁。已经提出了许多技术；请参阅IETF RFC 4542：使 DNS 更能抵御伪造答案的措施，以了解其中大部分内容的概述。在 Google 公共 DNS 中，我们已实施并推荐以下方法：

• 过度配置机器资源以防止对解析器本身的直接 DoS 攻击。由于 IP 地址对于攻击者来说是微不足道的，因此无法阻止基于 IP 地址或子网的查询；处理此类攻击的唯一有效方法是简单地吸收负载。

这是一个令人沮丧的认识；即使在堆栈溢出/服务器故障/超级用户上，我们也经常使用 IP 地址作为各种禁止和阻止的基础。

认为一个“有才华”的攻击者可以随便使用他们想要的任何IP地址，并合成尽可能多的唯一假IP地址，真是太可怕了！

所以我的问题：

• 攻击者在野外伪造 IP 地址真的那么容易吗？
• 如果是这样，可以采取哪些缓解措施？

我们在http://sstatic.net的网站之间提供一组共享的静态内容。不幸的是，此内容目前根本没有负载平衡——它是从单个服务器提供的。如果该服务器出现问题，则所有依赖它的站点都会有效关闭，因为共享资源是必不可少的共享 javascript 库和图像。

我们正在寻找在此服务器上负载平衡静态内容的方法，以避免单服务器依赖。

我意识到循环 DNS 充其量只是一个低端（有些人甚至可能会说是贫民窟）解决方案，但我不禁想知道——循环 DNS 是否是静态内容基本负载平衡的“足够好”的解决方案?

[dns] [load-balancing]中对此有一些讨论标签中，我已经阅读了一些关于这个主题的很棒的帖子。

我知道通过多个循环 A 记录进行 DNS 负载平衡的常见缺点：

• DNS 记录通常没有心跳或故障检测，因此如果轮换中的给定服务器出现故障，则必须手动从 DNS 条目中删除其 A 记录
• 必须将生存时间 (TTL) 设置得非常低才能使其正常工作，因为 DNS 条目在整个 Internet 中都被大量缓存
• 客户端计算机负责查看有多个 A 记录并选择正确的记录

但是，轮询 DNS 作为一个启动器是否足够好，总比没有好，“在我们研究和实施更好的替代方案的同时”为我们的静态内容负载平衡的形式吗？或者 DNS 循环在任何情况下都毫无价值？

我们在防火墙后面有一个仅 SMTP 的邮件服务器，它将有一个公共的邮件记录。. 访问此邮件服务器的唯一方法是从同一防火墙后面的另一台服务器。我们不运行我们自己的私有 DNS 服务器。

在公共 DNS 服务器中使用私有 IP 地址作为 A 记录是个好主意 - 还是最好将这些服务器记录保存在每个服务器的本地主机文件中？