Краткий ответ
Требуют ли стандарты, регулирующие работу DNS, чтобы все устройства имели соответствующую запись PTR? Нет.
Требуют ли стандарты для определенных протоколов PTR
записей, которые согласуются с соответствующими A
или AAAA
записями? Да.
Имеют ли некоторые приложения, не регулируемые RFC, такие же требования? Да.
Может ли запись PTR указывать на CNAME? Да, но целью CNAME должно быть уникальное имя рассматриваемого устройства (а не другого CNAME). ( RFC 2181§10.2 , RFC1034 §3.6.2 )
Является ли обязательное создание записей PTR лучшей практикой? Обычно так считают, но у него есть свои проблемы.
Длинный ответ
Эти вопросы и ответы предоставляются с целью помочь устранить общее недоразумение.
Трагически цитируемый раздел RFC1796 применяется здесь:
К сожалению, распространенное заблуждение заключается в том, что публикация в качестве RFC обеспечивает определенный уровень признания. Это не так, или, по крайней мере, не больше, чем публикация в обычном журнале. Фактически, каждый RFC имеет статус относительно его связи с процессом стандартизации Интернета: информационный, экспериментальный или отслеживание стандартов (предлагаемый стандарт, проект стандарта, интернет-стандарт) или исторический.
RFC1912 является информационным. RFC1033 не имеет четкой маркировки и имеет официальное обозначение UNKNOWN , что означает, что он настолько старый, что его не следует рассматривать ни для чего . Они не определяют Стандарты и не могут использоваться для официального дополнения стандарта. Они никогда не должны цитироваться в контексте, который подразумевает, что они определяют стандарт.
Думайте об информационных предложениях RFC как о хорошем совете и общепринятой передовой практике. Обратные рекомендации DNS имеют смысл с первого взгляда: следуя этим рекомендациям, вы снизите риск оказаться в ситуациях, когда приложение не работает, поскольку обратный DNS был необходим и не планировался. Вы, конечно, не можете ожидать, что администратор DNS будет знать каждое приложение / протокол, который требует его, и, к сожалению, то же самое имеет место для владельцев служб, запрашивающих эти записи.
Тем не менее, помимо очень хорошей автоматизации , обязательные политики создания записей PTR также создают загрязнение.
- Очень часто
PTR
записи не синхронизируются с соответствующими записями A
/ AAAA
записями, поскольку устройства выводятся из эксплуатации, что PTR
со временем приводит к ползучести поддельных данных. Эти данные служат только для того, чтобы ввести в заблуждение тех, кто пытается рассматривать эту информацию как достоверную. Некоторые владельцы приложений стремятся запрыгнуть на него, когда ищут причину фантомной проблемы. Проблема будет только усугубляться, так как внедрение IPv6 становится все более распространенным явлением, особенно для администраторов DNS, отвечающих за размер IP-пространства несущей.
- Наличие нескольких записей PTR для одного и того же IP-адреса довольно бесполезно, и следование рекомендациям информационных RFC неизбежно приведет к этому. См .: Почему не рекомендуется использовать несколько записей PTR в DNS?
Что хуже: отсутствие записи PTR или неточной записи PTR? Если протокол нарушается из-за того, что его стандарт требует допустимого DNS, оба являются плохими, а последний может быть и хуже . Помимо этого, у каждого свое мнение по этому вопросу. Это нормально: вы можете собрать политики и инструменты, которые лучше всего подходят для вашей команды и компании. Просто убедитесь, что они масштабируются и дают последовательные результаты, и помните, что обратный DNS будет точен только так, как это нужно времени и дисциплине членов вашей команды.
Но пропущенные записи PTR приводят к зависанию sshd!
Тоже не правда. Люди часто путают границу между отсутствием записи PTR (NXDOMAIN) и неработающей обратной DNS.
Ответ на NXDOMAIN
вызов вызовет проблему только в том случае, если вы обмениваетесь информацией со службой, для которой требуется прямой подтвержденный обратный DNS (FCrDNS). Почтовые серверы, Kerberos, Oracle, сканирование VIP, и т. Д.
Сломанный обратный DNS - это когда вы не можете NXDOMAIN
своевременно получить ответ. Многие приложения (наиболее известные sshd
) будут блокировать обратный поиск DNS, если возникнут проблемы со своевременным получением ответа от вышестоящих источников, что приведет к задержкам в приложении.
sshd
медленного ответа можно избежать, поместивUseDNS no
вsshd_config
. (Но даже несмотря на то, что вы можете обойти эту проблему, это, конечно, все еще неприемлемо, если обратный DNS истекло или выдает ответ на сбой сервера.)