Wir befinden uns in einer Situation, in der wir unsere Kunden manchmal dazu veranlassen müssen, die NS-Einträge so einzurichten, dass sie auf unseren Dienst verweisen.
Ich möchte dies so einfach wie möglich machen und habe mich gefragt, ob ich NS-Datensätze erstellen kann, die in die echten NS-Datensätze aufgelöst werden.
Beispielsweise fügt der Client hinzu:
joebloggs.com NS joebloggs.com.ns1.mydomain.com
joebloggs.com NS joebloggs.com.ns2.mydomain.com
Und ich füge zu mydomain.com hinzu:
joebloggs.com.ns1.mydomain.com NS the.real.ns1.server.com
joebloggs.com.ns2.mydomain.com NS the.real.ns2.server.com
Würde das funktionieren? Ist das eine gute Vorgehensweise? Sollte ich dafür sorgen, dass jeder der gefälschten NS-Einträge auf beide echten NS-Einträge verweist? (so)
joebloggs.com.ns1.mydomain.com NS the.real.ns1.server.com
joebloggs.com.ns1.mydomain.com NS the.real.ns2.server.com
joebloggs.com.ns2.mydomain.com NS the.real.ns1.server.com
joebloggs.com.ns2.mydomain.com NS the.real.ns2.server.com
Es scheint, dass die Verwendung von CNAME nicht angemessen ist.Kann ein IN NS im DNS auf einen CNAME verweisen?
Wäre das oben genannte in Ordnung? Gibt es eine bessere Lösung?
Antwort1
So wird das nicht funktionieren.
Sie müssten A/AAAA-Einträge veröffentlichen joebloggs.com.ns1.mydomain.com, joebloggs.com.ns2.mydomain.comda der RDATA-Teil eines NS-Eintrags ein Hostname ist, der kontaktiert werden muss, und daher A/AAAA-Einträge enthalten muss. Der zweite Satz von NS-Einträgen würde nie abgefragt, da die Bezeichnungen keine Zonen mit einem SOA sind.
Die NS RDATA könnten ein CNAME sein, dies wird jedoch nicht empfohlen.
Ich verstehe nicht genau, was Sie mit solchen Dingen erreichen/verbergen möchten. Sie können stattdessen Folgendes tun:
- Geben Sie Ihren Kunden die wahren NS-Aufzeichnungen; dies ist die empfohlene Lösung, weit vor allen anderen
- Geben Sie ihnen beliebige andere NS-Einträge, und stellen Sie dabei sicher, dass diese in dieselben A/AAAA-Einträge aufgelöst werden wie die echten Nameserver (das würde das Ändern ihrer IP-Adressen sehr kompliziert machen). Solange Sie ihnen ihre A/AAAA-Einträge zur Verfügung stellen, können dies
joebloggs.com.ns1.mydomain.comusw. oder sogarns1.joebloggs.comusw. sein, auch Vanity-Nameserver genannt. Im letzteren Fall müssen jedoch Glue-Einträge in der Registrierung durch den Sponsor-Registrar erstellt werden, was für Sie weitaus mehr Arbeit als gewünscht und fast keinen Nutzen bedeutet.
Kurz gesagt, warum möchten Sie (versuchen) die echten Nameserver überhaupt vor Ihren Kunden verbergen?