Apakah buruk memiliki DNS terbalik untuk dua IP menunjuk ke nama domain yang sama?

9

Saya sedang dalam proses menyiapkan server baru untuk aplikasi web saya (situs akan dipindahkan, ini bukan untuk load balancing atau sejenisnya), yang memiliki alamat IP berbeda dari server saya yang ada. Server saya saat ini memiliki catatan DNS PTR terbalik yang mengatur IP-nya ke mydomain.com. Apakah buruk untuk membuat catatan DNS PTR terbalik untuk IP baru yang menunjuk ke mydomain.com juga? Atau haruskah saya menunggu sampai saya melakukan migrasi untuk menyiapkan catatan?

Pembaruan : Saya lupa menyebutkan, catatan A untuk mydomain.com menunjuk ke alamat IP server lama, bukan yang baru, jika itu penting.

domain-name-system reverse-dns

— Daniel Vandersluis
sumber

Tidak jelas bagi saya layanan apa yang dijalankan oleh sistem Anda. Anda mengatakan domain, apakah Anda berbicara tentang server web? Catatan PTR hampir tidak digunakan sama sekali untuk HTTP, jadi mungkin tidak masalah sama sekali. OTOH konfigurasi PTR yang salah dapat merusak email dengan serius

— Zoredache

Kedua server adalah server web yang juga mengirim dan menerima email (itulah sebabnya saya bertanya)

— Daniel Vandersluis

2

Surat keluar dari server baru akan menarik poin spam. Misalnya SpamAssasin akan menandai email dengan "RDNS_NONE" (Dikirim ke jaringan internal oleh tuan rumah tanpa rDNS). Bahkan melakukan ini jika server baru, yang mengirim surat, TIDAK memiliki dns terbalik yang benar. Alasannya adalah karena url tidak memetakan ke ip ini.

— Robino

FYI skor yang Anda dapatkan adalah -1.274, jadi jika email Anda bukan spam dengan cara lain, Anda mungkin tidak akan menyadarinya.

— Robino

9

Jika nyaman bagi Anda sebagai solusi sementara, itu harus dapat diterima. Saya tidak bisa memikirkan banyak skenario di mana memiliki beberapa catatan PTR dengan nama host yang sama akan menimbulkan masalah teknis.

Satu skenario potensial adalah pengiriman email di server baru. Setidaknya, jika pencarian maju diselesaikan ke server lama. Server email yang berubah-ubah akan memantulkan email tanpa nama host / IP yang dapat menyelesaikan keduanya dan cocok.

Di luar itu, dan saya benar-benar berusaha, saya tidak bisa memikirkan apa pun. Jika ada lagi, kemungkinan lingkupnya terbatas seperti di atas.

— Warner
sumber

Bagaimana jika Anda memiliki 100 server mail (jadi itu gagal aman), bukankah Anda ingin semua server merespons memiliki PTR yang tepat?

— Alexis Wilke

5

Jika Anda memiliki dua IP yang menyelesaikan dengan nama domain yang sama, maka Anda tidak dapat memiliki Forward Confirmed Reverse DNS (FCrDNS) untuk keduanya, yang merupakan pemeriksaan yang menggunakan banyak skema otentikasi (seperti server email saat memutuskan apakah akan mengirimkan email Anda).

Untuk mendapatkan forward reverse DNS yang dikonfirmasi, alamat IP harus memutuskan nama host yang mengembalikan alamat IP itu dan hanya alamat IP itu.

Namun, Anda dapat memiliki satu IP yang diselesaikan ke sub01.example.com dan yang lainnya memutuskan untuk sub02.example.com dan masih memiliki FCrDNS untuk keduanya.

— thomasrutter
sumber

Hmm, tetapi ini berarti Anda tidak dapat memuat keseimbangan layanan ini? Saya ingin tahu apakah ini dapat lulus verifikasi TLS pada HTTPS atau LDAPS.

— Sorin

Hal ini seharusnya tidak memengaruhi layanan apa pun yang Anda miliki, artinya tidak boleh memengaruhi kemampuan Anda untuk melakukan HTTPS atau LDAPS atau memuat keseimbangan dengan banyak server. Pemeriksaan FCrDNS tidak harus menggunakan nama host yang sama dengan nama host yang Anda gunakan untuk mengakses server. Itu dapat menggunakan nama host apa pun; biasanya nama host internal tidak harus dilihat oleh pengguna akhir kecuali mereka melakukan pemeriksaan PTR. Semua yang diperlukan adalah bahwa setiap IP unik yang terlihat oleh dunia menggunakan sesuatu untuk nama host unik yang kembali ke IP tersebut.

— thomasrutter

1

Misalnya saya baru saja mencari google.com dan IP yang saya dapatkan adalah 216.58.220.110. Catatan terbalik untuk itu adalah syd10s01-in-f14.1e100.net. Saya melihat itu dan mendapatkan IP yang sama: 216.58.220.110. Sehingga server Google melewati pemeriksaan FCrDNS, meskipun nama yang digunakan untuk tujuan itu, syd10s01-in-f14.1e100.net, tidak ada hubungannya dengan nama saya mengakses server dengan (yaitu google.com) atau nama yang digunakan untuk hal-hal seperti SSL.

— thomasrutter

4

Selama Anda menyimpan catatan A Anda menunjuk ke satu alamat IP tertentu (tanpa round robin) ini seharusnya tidak menyebabkan masalah.

Tentu saja, praktik terbaik adalah selalu memiliki resolusi 1 <-> 1 untuk menutup lingkaran .

Ada beberapa penjelasan menyeluruh di digitalpoint.com . Intinya, ini adalah tujuan desain RFC, tetapi pendekatan praktisnya adalah - kadang-kadang Anda bahkan tidak memiliki akses ke beberapa entri terbalik (seperti mantan ISP yang memiliki catatan basi), dan itu seharusnya tidak menjadi masalah (dengan asumsi Anda hanya menggunakan 1 alamat "langsung").

Jadi secara singkat:

Jika Anda ingin entri DNS terbalik Anda "menunggu" untuk Anda ketika Anda bermigrasi - sepertinya benar-benar OKE.
Jika Anda menggunakan kedua server pada saat yang sama untuk produksi - saya tidak yakin. Secara teoritis ini adalah praktik yang buruk (lihat RFC 1912 ), tapi saya tidak berpikir apa-apa selain surat akan mengeluh tentang itu.

— Karol J. Piczak
sumber