Có tệ không khi DNS ngược cho hai IP trỏ đến cùng một tên miền?

9

Tôi đang trong quá trình thiết lập máy chủ mới cho ứng dụng web của mình (trang web sẽ được di chuyển, nó không phải để cân bằng tải hoặc tương tự), có địa chỉ IP khác với máy chủ hiện tại của tôi. Máy chủ hiện tại của tôi có bản ghi DNS PTR ngược được thiết lập trỏ IP của nó vào mydomain.com. Có tệ không khi thiết lập bản ghi DNS PTR ngược cho IP mới trỏ đến mydomain.com? Hoặc tôi nên đợi cho đến khi tôi thực hiện di chuyển để thiết lập hồ sơ?

Cập nhật : Tôi quên đề cập, bản ghi A cho mydomain.com trỏ đến địa chỉ IP của máy chủ cũ, không phải địa chỉ mới, nếu có vấn đề.

domain-name-system reverse-dns

— Daniel Vandersluis
nguồn

Tôi không rõ dịch vụ cụ thể mà hệ thống của bạn đang chạy. Bạn nói tên miền, bạn đang nói về một máy chủ web? Bản ghi PTR hầu như không được sử dụng cho HTTP, vì vậy có lẽ nó không thành vấn đề. Cấu hình PTR không chính xác của OTOH có thể phá vỡ email nghiêm trọng.

— Zoredache

Cả hai máy chủ đều là máy chủ web cũng gửi và nhận email (đó là lý do tôi hỏi)

— Daniel Vandersluis

2

Thư đi từ máy chủ mới sẽ thu hút các điểm thư rác. Ví dụ: SpamAssasin sẽ gắn thẻ thư với "RDNS_NONE" (Được gửi đến mạng nội bộ bởi một máy chủ không có rDNS). Nó thậm chí còn làm điều này nếu máy chủ mới, đang gửi thư, DOES có dns ngược chính xác. Lý do cho điều này là do url không ánh xạ tới ip này.

— Robino

FYI số điểm bạn nhận được cho điều này là -1.274, vì vậy nếu thư của bạn không bị spam theo bất kỳ cách nào khác thì có lẽ bạn sẽ không nhận thấy.

— Robino

9

Nếu nó thuận tiện cho bạn như một giải pháp tạm thời, nó sẽ hoàn toàn chấp nhận được. Tôi không thể nghĩ ra nhiều kịch bản trong đó có nhiều bản ghi PTR có cùng tên máy chủ sẽ đưa ra bất kỳ vấn đề kỹ thuật nào.

Một kịch bản tiềm năng sẽ là gửi thư trên máy chủ mới. Ít nhất, nếu tra cứu chuyển tiếp giải quyết đến máy chủ cũ. Máy chủ thư hay thay đổi sẽ trả lại thư mà không có tên máy chủ / IP có thể giải quyết cả hai cách và khớp.

Ngoài ra, và tôi thực sự đang cố gắng, tôi không thể nghĩ ra cái nào cả. Nếu có nhiều hơn, nó có thể có phạm vi hạn chế như trên.

— Warner
nguồn

Điều gì sẽ xảy ra nếu bạn có 100 máy chủ thư (vì vậy nó không an toàn), bạn có muốn tất cả các máy chủ phản hồi là có PTR phù hợp không?

— Alexis Wilke

5

Nếu bạn có hai IP phân giải thành cùng một tên miền, thì bạn không thể có DNS đảo ngược được xác nhận chuyển tiếp (FCrDNS) cho cả hai, đó là kiểm tra mà nhiều lược đồ xác thực sử dụng (như máy chủ email khi quyết định có gửi thư của bạn không).

Để nhận được DNS ngược được xác nhận chuyển tiếp, một địa chỉ IP phải phân giải thành tên máy chủ giải quyết lại địa chỉ IP đó và chỉ địa chỉ IP đó.

Tuy nhiên, bạn có thể có một IP phân giải thành sub01.example.com và một IP khác phân giải thành sub02.example.com và vẫn có FCrDNS cho cả hai.

— thomasrutter
nguồn

Hmm, nhưng điều này có nghĩa là bạn không thể tải cân bằng các dịch vụ này? Tôi tự hỏi nếu điều này có thể vượt qua xác minh TLS trên HTTPS hoặc LDAPS.

— sorin

Điều này không ảnh hưởng đến bất kỳ dịch vụ nào bạn có, nghĩa là nó sẽ không ảnh hưởng đến khả năng thực hiện HTTPS hoặc LDAPS của bạn hoặc tải cân bằng với nhiều máy chủ. Kiểm tra FCrDNS không phải sử dụng cùng tên máy chủ với tên máy chủ bạn đang sử dụng để truy cập máy chủ. Nó có thể sử dụng bất kỳ tên máy chủ nào; thường là tên máy chủ nội bộ không nhất thiết phải được nhìn thấy bởi người dùng cuối trừ khi họ đã kiểm tra PTR. Tất cả những gì được yêu cầu là mỗi IP duy nhất hiển thị trên thế giới sử dụng một cái gì đó cho một tên máy chủ duy nhất phân giải trở lại IP đó.

— thomasrutter

1

Ví dụ: tôi vừa tra cứu google.com và IP tôi nhận được là 216.58.220.110. Bản ghi ngược cho đó là syd10s01-in-f14.1e100.net. Tôi đã tra cứu điều đó và nhận được cùng một IP: 216.58.220.110. Vì vậy, máy chủ Google vượt qua kiểm tra FCrDNS, mặc dù tên được sử dụng cho mục đích đó, syd10s01-in-f14.1e100.net, không liên quan gì đến tên tôi truy cập máy chủ đó bằng (đó là google.com) hoặc tên được sử dụng cho những thứ như SSL.

— thomasrutter

4

Miễn là bạn giữ bản ghi A của bạn trỏ đến một địa chỉ IP cụ thể (không có vòng tròn), điều này sẽ không gây ra bất kỳ vấn đề nào.

Tất nhiên, cách tốt nhất là luôn có độ phân giải 1 <-> 1 để đóng vòng tròn .

Có một số giải thích kỹ lưỡng tại digitalpoint.com . Vấn đề là, đó là mục tiêu thiết kế RFC, nhưng cách tiếp cận thực tế là - đôi khi bạn thậm chí không có quyền truy cập vào một số mục ngược lại (trước đây ISP có hồ sơ cũ) và đó không phải là vấn đề (giả sử bạn chỉ sử dụng 1 địa chỉ "sống").

Tóm lại:

Nếu bạn muốn mục DNS ngược của mình "chờ" cho bạn khi bạn di chuyển - có vẻ như hoàn toàn ổn.
Nếu bạn đang sử dụng cả hai máy chủ cùng một lúc để sản xuất - tôi không chắc chắn. Về mặt lý thuyết, đó là cách làm tồi tệ (xem RFC 1912 ), nhưng tôi không nghĩ gì ngoài thư sẽ phàn nàn về điều đó.

— Karol J. Piczak
nguồn