私は、安全でない動的 DNS 更新によるリスクに関するケース スタディに取り組んでいます。静的アドレスと動的に作成されたアドレスが混在する内部 DNS が構成されているとします。Windows AD 統合 DNS 環境を検討してください。
以下の質問のいくつかについて助けが必要です
- 同じホストに対して、DNS サーバー上の異なる IP アドレスを参照する静的 A レコードと動的に作成された A レコードが共存できますか? (例: 同じホスト名を持つネットワークに導入された新しいシステムによって作成された動的 A レコード)
- もしそうなら、そのような場合、DNS 解決はどのように行われるのでしょうか? DNS クエリは、静的 A レコードではなく、誤った動的 A レコードに解決される可能性がありますか?
- 安全でない DDNS 更新の代わりに安全な動的 DNS 構成を使用することで、これを回避できますか? 回避できる場合、安全な DDNS はどのようにしてこのようなシナリオを防ぐことができますか。
この件に関してご助力いただければ大変助かります。
前もって感謝します。
答え1
同じホストに対して静的Aレコードと動的Aレコードが共存できますか?
名前は複数の IP アドレスに解決される可能性があり、複数のAまたはAAAAレコードを持つことになります。クライアントは、名前を照会するときに、それらのセット全体を取得します。
IP アドレスのプロビジョニング方法は、上記とはあまり関係ありませんが、「動的」なケースでは、更新は実際には置換であることが多く、つまり、「既存の IP アドレスをすべて削除した後、X をアドレス Y に解決してください」ということになります。
つまり、すべてはダイナミックなものがどのように機能するかによって決まります。それが付加的なものであれば、ミックスすることができます。
もしそうなら、そのような場合、DNS 解決はどのように行われるのでしょうか? DNS クエリは、静的 A レコードではなく、誤った動的 A レコードに解決される可能性がありますか?
レコードが複数ある場合はA、それらすべてが返されます。クライアントには、レコードがどこから来たのか (動的か静的か) を知る方法はありません。
安全でない DDNS 更新の代わりに安全な動的 DNS 構成を使用することで、これを回避できますか? 回避できる場合、安全な DDNS はどのようにしてこのようなシナリオを防ぐことができますか。
はい、また、ゾーン全体ではなく、ゾーンのサブゾーンのみを動的更新に対してオープンにします。