Расширяете мои поиски resolv.conf за пределами моего поддоменов?

621
dafydd

Это скорее вопрос передового опыта, чем технический. Я знаю, что могу решить эту проблему с моей стороны. Вопрос в том, должен ли я ...

Я управляю частной сетью / поддоменом в рамках большей части корпоративного домена. Итак, я бегу dom.pvt, sub1.dom.pvt, sub2.dom.pvt, и sub3.dom.pvt. За пределами моей маленькой вотчиной, у нас есть subd1.example.com, subd2.example.com, subd3.example.comи, возможно, другие поддоменов я не знаю, о. Эти домены используются по всему корпоративному миру. Мой named.confфайл содержит forwarders{}пункт, указывающий на стек DNS вне моего домена для этих хостов.

(Не имеет значения «почему я спрашиваю это?» У меня установлена ​​проверка работоспособности DNS (« UseDNS yes») для всех моих демонов SSH. Если хост во внешнем мире пытается подключиться к ssh одному из моих хостов, соединение зависает или время ожидания точка, которая заставляет меня верить, что проверка здравомыслия не получает возврата.)

Если я выполняю простой поиск по имени хоста (" host -v hostname") для хоста в моем частном поддомене, я получаю хороший доход с моего DNS-сервера. Если я выполняю простой поиск любого хоста за пределами моего домена, запрос истекает. Однако, если я буду явно искать " host -v hostname.sub1.example.com", я получу немедленный возврат.

Так что, если бы я хотел расширить свой resolve.conf searchпараметр, включив эти «внешние» субдомены, я мог бы решить эту проблему. Мой вопрос заключается в том, является ли это моей обязанностью или нет. Или я должен сказать внешним администраторам, что им нужно изменить настройку X на Y?

Я уже знаю о трех поддоменах за пределами моего маленького мира. Сколько записей я должен ожидать, чтобы поставить мою resolv.conf searchценность?

(Помимо второго: я собираюсь пойти в Google, чтобы узнать, как сказать named, чтобы сканировать все его записи во всех его поддоменах, прежде чем он перейдет к следующему хосту в цепочке. Если это даже возможно. )

3
UseDNS не дает большого преимущества в плане безопасности (есть гораздо лучшие способы улучшить аутентификацию), так как насчет его отключения? Paul 11 лет назад 0
К сожалению, наш конечный клиент использует его. Одна из причин, по которой у нас есть свое маленькое вотчина, - запуск хостов, которые имитируют конфигурации этого клиента ... * пожимает плечами * dafydd 11 лет назад 0

1 ответ на вопрос

1
John

Если вы хотите использовать короткие имена хостов для хостов за пределами доменов, которыми вы управляете, вы действительно обязаны обновить resolv.conf для этих строк поиска. За пределами вашего домена никто ничего не может сделать, чтобы он работал иначе.

Что касается того, сколько доменов вы можете добавить в строку поиска - это вопрос, на который вы можете ответить только потому, что он сильно зависит от вашей среды и ожиданий ваших пользователей.

Я не знаю о "желании". Возможно, меня заставят, поскольку я не контролирую, отправляют ли эти внешние хосты / рабочие станции свои простые имена хостов или полные доменные имена, когда они называют себя во время рукопожатий ... Странно то, что это работало совсем недавно, на прошлой неделе. Нет, я не знаю, что изменилось ... dafydd 11 лет назад 0

Похожие вопросы