Re esta configuración:
Mi servidor DNS público autorizado en <public dns ip>:
example.com. A <public webserver IP>
foo.bar.example.com. TXT "Hello World"
Mi servidor DNS privado autorizado en 192.168.0.2:
foo.bar.example.com. A "192.168.0.1"
bar.bar.example.com. CNAME "foo.bar.example.com"
Entonces tengo dos servidores DNS autorizados, uno en el dominio público y otro en el dominio privado. Necesito que el público proporcione algunos registros TXT, pero no registros A, para un subconjunto específico de dominios. El privado debe servir registros A y CNAME, solo para uso interno, pero no servirá registros TXT.
Si mis clientes tienen las IP de su servidor DNS en el orden incorrecto (público, privado), ¿la respuesta del servidor DNS público autorizado impedirá que se consulte al servidor DNS privado?
Ejemplo:
El cliente se ha resolv.confconfigurado para:
<public dns ip>
192.168.0.2
Si ejecutan nslookup foo.bar.example.comdesde su consola, ¿se resolverá 192.168.0.1o el servidor DNS público les dirá que el nombre no existe y que dejen de buscar?
Respuesta1
Resolver no funciona como crees. Cuando tiene varias líneas en su, resolv.confse usan como alternativa: el sistema siempre usa el primer servidor de nombres y solo si no responde en absoluto (lo cual es diferente de responder que un nombre no existe), consultará el segundo. etcétera. Esto se aplica básicamente por consulta.
Deberías configurar las cosas de manera diferente: tener solo un servidor de nombres autorizado y, si lo usas, bindusar su viewsmecanismo para responder diferentes cosas a diferentes clientes. Deje que los clientes recorra el árbol normal del DNS para encontrarlo.
Pero por lo demás, en teoría tienes razón: si el servidor "público" responde y dice NXDOMAIN, la búsqueda se detendrá allí. Excepto que estás mezclando autoritativo y recursivo (los que están en resolv.conf), lo cual es un muy mal hábito. Y todavía tienes una configuración que es más complicada de lo necesario y te dará problemas más adelante.
Respuesta2
Esta es una configuración común en redes Windows; donde (debido a la integración de DNS de Active-Directory) el solucionador recursivo también es el servidor autorizado para esas zonas DNS.
Si también existe una zona con el mismo nombre (pero registros diferentes) en el DNS público, los intentos de consultar los registros públicos terminarán en el solucionador recursivo interno (como tiene autoridad para esa zona, puede indicar con autoridad que el registro no existe). .); por lo tanto, la zona pública queda enmascarada por la zona privada para cualquier cliente que utilice el solucionador privado.
Respuesta3
En mi opinión, si <public dns ip>no tienes el registro A para el dominio, entonces definitivamente debes recurrir al servidor DNS secundario.192.168.0.2