Как работает публичный DNS?

449
user9371654

Если у меня есть небольшая корпоративная сеть с некоторыми веб-серверами и DNS с DNSSEC для подписи файла зоны. Я могу отредактировать файл зоны и настроить сопоставление (имя -> IP) в дополнение к любым другим сопоставлениям, например, записи TXT и т. Д., А затем подписать файл. Клиент, поддерживаемый DNSSEC, запрашивает DNS и получает записи, проверяет подпись и т. Д.

Если мои пользователи используют общедоступный DNS, такой как 8.8.8.8, как я могу настроить свои собственные записи TXT DNS? Является ли общедоступный DNS, такой как 8.8.8.8, DNS-сервером или просто преобразователем? Как общедоступный DNS работает именно для разрешения, example.comкоторое использует DNSSEC для аутентификации на своем DNS-сервере? у кого есть ключи подписи? example.comили общедоступный DNS?

1
Существует разрыв между вашими знаниями, вопросами и настройками. Очевидно, у кого-то был навык, чтобы настроить это - вы должны работать с ними. davidgo 6 лет назад 1
@davidgo Я сделал настройку для частной сети в учебных целях. У меня есть понимание того, как все работает в частной сети. Но мне нужно получить более глубокое понимание того, как все работает, когда пользователь или клиент использует общедоступный DNS, учитывая тот факт, что предприятие подписало свои записи DNS. В этом случае клиент проверяет ответ, используя какой открытый ключ? сервер предприятия или общедоступный DNS? user9371654 6 лет назад 0

1 ответ на вопрос

3
grawity

Является ли общедоступный DNS, такой как 8.8.8.8, DNS-сервером или просто распознавателем?

Это просто распознаватель, как те, которые предоставляются провайдерами. Это не меняет ничего о том, как ваш домен управляется: записи по - прежнему находятся в zonefile в ваших «авторитетных» серверов, и вы подписываете зону со своими собственными ключами.

Если мои пользователи используют общедоступный DNS, такой как 8.8.8.8, как я могу настроить свои собственные записи TXT DNS?

Вы не Поскольку 8.8.8.8 является распознавателем, он будет следовать цепочке делегаций (NS-записей) и получит записи с вашего собственного авторитетного сервера. (Точно так же, как разрешение других доменов, таких как "google.com" ...)

Таким образом, если домен является общедоступным (приобретен у регистратора) и если ваш DNS-сервер общедоступен, то ничего не изменится.

Конечно, если домен не делегирован - например, если он находится под каким-либо выдуманным доменом верхнего уровня, например, mycompany.lanпубличные решатели вообще не смогут его увидеть . Так что не используйте вымышленные домены.

Как общедоступный DNS работает точно для разрешения example.com, который использует DNSSEC для аутентификации на своем DNS-сервере

Для регулярного поиска записей DNS, смотрите выше, и смотрите множество существующей документации. Короче говоря, распознаватель следует цепочке записей NS из корневой зоны, пока не найдет ваш собственный сервер.

Проверка DNSSEC очень похожа: в дополнение к записям NS (указывающим на следующий сервер) каждое делегирование также имеет записи DS (имеющие открытый ключ следующей зоны). Определитель или валидатор снова следует цепочке записей DS.

Могу ли я сказать, что владельцем домена является тот же объект, который имеет ключи подписи DNS? т. е. владелец `example.com` - это тот же объект, который имеет ключи подписи для записей DNS` example.com`? user9371654 6 лет назад 0
Это часто так, да. Но не всегда: многие люди не используют свои собственные авторитетные серверы, а просто используют бесплатный веб-сервис «DNS control panel» регистратора. В этом случае файл зоны создается и подписывается (или не подписывается) регистратором, а не владельцем. grawity 6 лет назад 0
(Который по-прежнему является «авторитетным сервером» и полностью не связан с общедоступными распознавателями, такими как Google Public DNS.) grawity 6 лет назад 0

Похожие вопросы