É possível ter um registro A estático e dinâmico criado para o mesmo host em um servidor DNS interno?

tag-icon tag-icon bind internal-dns dynamic-dns ddns
É possível ter um registro A estático e dinâmico criado para o mesmo host em um servidor DNS interno?

Estou trabalhando em um estudo de caso relacionado aos riscos de atualizações dinâmicas de DNS inseguras. Suponha que haja um DNS interno configurado que possua uma combinação de endereços estáticos e criados dinamicamente. Considere um ambiente DNS integrado do Windows AD.

Preciso de ajuda em algumas das dúvidas abaixo

  1. Pode coexistir um registro A estático e um criado dinamicamente para o mesmo host - referindo-se a diferentes endereços IP no servidor DNS? (por exemplo, registro dinâmico A criado por um novo sistema introduzido na rede com o mesmo nome de host)
  2. Se sim, como aconteceria a resolução do DNS nesses casos? A consulta DNS pode ser resolvida para o registro A dinâmico incorreto em vez do registro A estático?
  3. Isso pode ser evitado tendo uma configuração de DNS dinâmica segura em vez de atualizações de ddns inseguras? Em caso afirmativo, como o DDNS seguro poderia evitar tal cenário.

Qualquer assistência sobre este assunto será bastante útil.

Desde já, obrigado.

Responder1

Pode coexistir um registro A estático e um registro A criado dinamicamente para o mesmo host

Um nome pode ser resolvido para vários endereços IP, ou seja, ter vários registros Aou AAAA. Os clientes obterão todo o conjunto deles ao consultar o nome.

A forma como os endereços IP são provisionados é um tanto irrelevante para o exposto acima, exceto que em casos "dinâmicos", muitas vezes uma atualização é na verdade uma substituição, ou seja: "resolva X para o endereço Y agora, depois de ter removido todos os endereços IP existentes por isso".

Então tudo depende de como seu material dinâmico está funcionando. Se for aditivo, você pode fazer uma mistura.

Se sim, como aconteceria a resolução do DNS nesses casos? A consulta DNS pode ser resolvida para o registro A dinâmico incorreto em vez do registro A estático?

Se houver vários Aregistros, todos serão retornados. O cliente não tem como saber de onde eles vêm (dinâmico ou estático).

Isso pode ser evitado tendo uma configuração de DNS dinâmica segura em vez de atualizações de ddns inseguras? Em caso afirmativo, como o DDNS seguro poderia evitar tal cenário.

Sim, e também deixando apenas uma subzona da sua zona aberta para atualizações dinâmicas, não a zona inteira.

informação relacionada