Публичные и частные авторитетные DNS-серверы

Question 1

Разрешение не работает так, как вы думаете. Когда у вас есть несколько строк в вашем, resolv.confони используются как запасной вариант: система всегда использует первый сервер имен, и только если он вообще не отвечает (что отличается от ответа о том, что имя не существует), она затем запрашивает второй и так далее. Это применяется в основном к каждому запросу.

Вам следует настроить все по-другому: иметь только один авторитетный сервер имен, и если вы используете bindего viewsмеханизм, чтобы отвечать разным клиентам на разные вещи. Позвольте нормальному обходу дерева DNS клиентами найти его.

Но в остальном в теории вы правы: если "публичный" сервер ответит и скажет NXDOMAIN, поиск на этом остановится. За исключением того, что вы смешиваете авторитетное и рекурсивное (те, что в resolv.conf), что является очень плохой привычкой. И у вас все еще есть настройка, которая сложнее, чем нужно, и это создаст вам проблемы в дальнейшем.

Answer

Разрешение не работает так, как вы думаете. Когда у вас есть несколько строк в вашем, resolv.confони используются как запасной вариант: система всегда использует первый сервер имен, и только если он вообще не отвечает (что отличается от ответа о том, что имя не существует), она затем запрашивает второй и так далее. Это применяется в основном к каждому запросу.

Вам следует настроить все по-другому: иметь только один авторитетный сервер имен, и если вы используете bindего viewsмеханизм, чтобы отвечать разным клиентам на разные вещи. Позвольте нормальному обходу дерева DNS клиентами найти его.

Но в остальном в теории вы правы: если "публичный" сервер ответит и скажет NXDOMAIN, поиск на этом остановится. За исключением того, что вы смешиваете авторитетное и рекурсивное (те, что в resolv.conf), что является очень плохой привычкой. И у вас все еще есть настройка, которая сложнее, чем нужно, и это создаст вам проблемы в дальнейшем.

Question 2

Это распространенная настройка в сетях Windows, где (благодаря интеграции Active-Directory DNS) рекурсивный распознаватель также является уполномоченным сервером для этой зоны DNS.

Если зона с таким же именем (но с другими записями) также существует в публичном DNS, попытки запросить публичные записи завершатся на внутреннем рекурсивном резолвере (поскольку он является авторитетным для этой зоны, он может авторитетно заявить, что запись не существует); таким образом, публичная зона маскируется частной зоной для любого клиента, использующего частный резолвер.

Answer

Это распространенная настройка в сетях Windows, где (благодаря интеграции Active-Directory DNS) рекурсивный распознаватель также является уполномоченным сервером для этой зоны DNS.

Если зона с таким же именем (но с другими записями) также существует в публичном DNS, попытки запросить публичные записи завершатся на внутреннем рекурсивном резолвере (поскольку он является авторитетным для этой зоны, он может авторитетно заявить, что запись не существует); таким образом, публичная зона маскируется частной зоной для любого клиента, использующего частный резолвер.

Question 3

По моему мнению, если у вас <public dns ip>нет записи A для домена, то вам определенно нужно обратиться к вторичному DNS-серверу.192.168.0.2

Answer

По моему мнению, если у вас <public dns ip>нет записи A для домена, то вам определенно нужно обратиться к вторичному DNS-серверу.192.168.0.2

Публичные и частные авторитетные DNS-серверы

решение1

решение2

решение3

Связанный контент