Dotaz k DNS

Dan Lukes dan at obluda.cz
Sun May 12 23:52:29 CEST 2002 

Pavel Ruzicka wrote:

> Kazdopadne jeste jednu vec. Pokud mam vice domen a jeden svuj primarni server,
> mel bych si jednu domenu zvolit jako "hlavni" mit u ni GLUE zaznam na NICu
> a ostatni odkazovat bez GLUE na ni. Jinak bych sel proti RFC1033, pro ktere
> je nepripustne vice zaznamu na jednu IP adresu. Co vy na to?
> Pise se tam toto:
> "There should be one A record for each address of a host."
> Coz se vztahuje i na GLUE A recordy.

	No, RFC1033 je uz pomerne hodne stare RFC a vyslo k nemu velke mnozstvi
ruznych doplnujicich dokumentu a diskusi.

	Soucasny vyklad a praxe spise smeruje k tomu chapat vyse uvedene
pravidlo v tom smyslu, ze kazda adresa stroje by mela mit alespon jeden
zaznam ("should be" neni "must" a "one" neni "one only") - tedy spise
jako pozadavek, aby kazda IP adresa byla pojmenovana (pokud ma IP adresa
vic jmen, tedy vic A zaznamu, mela by mit take adekvatni pocet
reverznich PTR zaznamu - i kdyz v tomto pripade jsou nejasnosti okolo
presne interpretace relevantnich RFC jeste vetsi).

	Pokud vam tedy jde o praktickou radu - bud'te maximalne konzervativni -
tedy, zvolte si skutecne jednu domenu s GLUE a v ostatnich nadefinujte
NS jiz bez GLUE do teto domeny i za cenu toho, ze koncove pocitace musi
resit dotazy trochu sloziteji (nejprve dostanou jmeno nameserveru a pak
si k ni muzi zjistit IP). I kdyz, ani to neni zcela jiste - jelikoz
vsechny nameservery "pojedete" na stejnem stroji, nejsem si zcela jist,
zda (prinejmensim BIND) do additional sekce stejne rovnou prislusny A
zaznam neprida - ackoliv to teoreticky neni nutne - pokud ano pak se
koncove stanice ani v tomto pripade dvakrat nebudou muset ptat.

	Reseni, kdy si udelate glue pro kazdou domenu ukazujici na tutez IP
adresu je progresivnejsi - a tedy mene "bezpecne" - ackoliv jsem si dost
jist, ze by fungovalo bez nejmensich problemu. Nicmene, pokud named
stejne potrebnou IP do odpovedi "pribali" pak neziskavate zadne realne
zlepseni proti konzervativnimu reseni a dokonce i kdyby to neudelal, pak
je treba si uvedomit, ze vzhledem ke kontretnimu usporadani je nevyhoda
nutnosti dvojiho dotazu v zasade zanedbatelna. Navic, proti hovori vetsi
sance spachat "chybu" v konfiguraci, budete se muset rozhodnotu jak se
postavite k problematice PTR zaznamu u IP s vice jmeny a v neposledni
rade budete mit vetsi problemy v pripade, ze byste nekdy jednou
potreboval z jakehokoliv duvodu IP adresu tohoto stroje zmenit.


	Takze, jednoznacne doporucuji konzervativni reseni.

						Dan



--
Dan Lukes,  SISAL, MFF UK  tel: +420 2 21914205, fax: +420 2 21914206
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz, dan at fio.cz

More information about the net mailing list