Разве плохо, когда обратный DNS для двух IP-адресов указывает на одно и то же доменное имя?

9

Я нахожусь в процессе настройки нового сервера для моего веб-приложения (сайт будет перемещен, не для балансировки нагрузки или тому подобного), который имеет IP-адрес, отличный от моего существующего сервера. На моем текущем сервере установлена ​​обратная запись DNS PTR, указывающая его IP-адрес на mydomain.com. Не плохо ли настроить обратную запись DNS PTR для нового IP-адреса, указывающего также на mydomain.com? Или мне следует подождать, пока я выполню миграцию, чтобы установить запись?

Обновление : я забыл упомянуть, запись A для mydomain.com указывает на IP-адрес старого сервера, а не новый, если это имеет значение.

domain-name-system reverse-dns Даниэль Вандерслуис
источник
Мне не ясно, какой конкретно сервис работает в вашей системе. Вы говорите, домен, вы говорите о веб-сервере? Запись PTR практически не используется для HTTP, поэтому, вероятно, это не имеет значения. OTOH неправильная конфигурация PTR может серьезно сломать электронную почту.
Зоредаче
Оба сервера являются веб-серверами, которые также отправляют и получают электронную почту (вот почему я спросил)
Даниэль Вандерслуис,
2
Отправка почты с нового сервера будет привлекать спам-очки. Например, SpamAssasin помечает почту как «RDNS_NONE» (доставляется во внутреннюю сеть хостом без rDNS). Он даже делает это, если новый сервер, который отправляет почту, имеет правильный обратный DNS. Причина этого в том, что URL не отображается на этот IP.
Робино
К вашему сведению, вы получите за это -1,274, поэтому, если ваша почта не является спамом, вы, вероятно, даже не заметите.
Робино

Ответы:

9

Если это удобно для вас как временное решение, оно должно быть вполне приемлемым. Я не могу придумать много сценариев, когда наличие нескольких записей PTR с одним и тем же именем хоста может привести к каким-либо техническим проблемам.

Одним из возможных сценариев будет доставка почты на новый сервер. По крайней мере, если прямой поиск разрешается на старый сервер. Непостоянные почтовые серверы будут пересылать почту без имен хостов / IP-адресов, способных разрешать оба пути и совпадать.

Помимо этого, и я действительно стараюсь, я не могу думать ни о чем. Если есть больше, это, вероятно, будет иметь ограниченную область действия, как указано выше.

сигнализатор
источник
Что если у вас есть 100 почтовых серверов (так что это отказоустойчиво), не хотите ли вы, чтобы все серверы отвечали как имеющие правильный PTR?
Алексис Уилке
5

Если у вас есть два IP-адреса, разрешающие одно и то же доменное имя, вы не можете использовать Forward Confirmed Reverse DNS (FCrDNS) для обоих, что является проверкой, используемой многими схемами аутентификации (например, почтовыми серверами при принятии решения о доставке почты).

Для получения подтвержденного обратного обратного DNS-адреса IP-адрес должен преобразовываться в имя хоста, которое разрешает обратно этот IP-адрес и только этот IP-адрес.

Однако у вас может быть один IP-адрес, преобразующийся в sub01.example.com, а другой - в sub02.example.com, и у вас все еще может быть FCrDNS для обоих.

thomasrutter
источник
Хм, а это значит, что вы не можете балансировать нагрузку этих сервисов? Интересно, может ли это пройти проверку TLS по HTTPS или LDAPS.
сорин
Это не должно влиять на любые ваши сервисы, то есть не должно влиять на вашу способность выполнять HTTPS или LDAPS или балансировать нагрузку со многими серверами. При проверке FCrDNS не обязательно использовать то же имя хоста, что и имя хоста, которое вы используете для доступа к серверу. Он может использовать любое имя хоста; обычно внутреннее имя хоста не обязательно просматривается конечными пользователями, если они не сделали проверку PTR. Все, что требуется, - это чтобы каждый уникальный видимый в мире IP-адрес использовал что-то для уникального имени хоста, которое преобразуется обратно в этот IP-адрес.
Томасруттер
1
Например, я только что посмотрел google.com и получил IP-адрес 216.58.220.110. Обратной записью для этого является syd10s01-in-f14.1e100.net. Я посмотрел это и получил тот же IP: 216.58.220.110. Так что сервер Google проходит проверку FCrDNS, даже если имя, которое он использовал для этой цели, syd10s01-in-f14.1e100.net, не имеет ничего общего с именем, с которым я обращаюсь к этому серверу (например, google.com), или используемыми именами. для таких вещей, как SSL.
Томасруттер
4

Пока вы храните свою запись A, указывающую на один конкретный IP-адрес (без циклического перебора), это не должно вызывать никаких проблем.

Конечно, лучше всего всегда иметь разрешение 1 <-> 1, чтобы замкнуть круг .

На digitalpoint.com есть подробное объяснение . Дело в том, что это цель разработки RFC, но практический подход таков: иногда у вас даже нет доступа к некоторым обратным записям (например, у бывшего интернет-провайдера есть устаревшие записи), и это не должно быть проблемой (если вы используете только 1 «живой» адрес).

Итак вкратце:

  • Если вы хотите, чтобы ваша обратная запись DNS «ждала» вас при переносе - это выглядит абсолютно нормально.
  • Если вы используете оба сервера одновременно для производства - я не уверен. Теоретически это плохая практика (см. RFC 1912 ), но я не думаю, что что-либо, кроме почты, пожаловалось бы на это.
Кароль Дж. Пичак
источник