Создание NS-записей, указывающих на NS-записи

tag-icon tag-icon domain-name-system nameserver
Создание NS-записей, указывающих на NS-записи

У нас возникают ситуации, когда нам иногда приходится просить клиентов настроить записи NS так, чтобы они указывали на наш сервис.

Я хотел бы максимально упростить этот процесс и хотел бы узнать, смогу ли я создать записи NS, которые будут преобразованы в настоящие записи NS.

Например, клиент добавляет:

joebloggs.com NS joebloggs.com.ns1.mydomain.com
joebloggs.com NS joebloggs.com.ns2.mydomain.com

И я добавляю к mydomain.com:

joebloggs.com.ns1.mydomain.com NS the.real.ns1.server.com
joebloggs.com.ns2.mydomain.com NS the.real.ns2.server.com

Будет ли это работать? Это хорошая практика? Должен ли я сделать так, чтобы каждая из поддельных записей NS указывала на обе настоящие записи NS? (вот так)

joebloggs.com.ns1.mydomain.com NS the.real.ns1.server.com
joebloggs.com.ns1.mydomain.com NS the.real.ns2.server.com

joebloggs.com.ns2.mydomain.com NS the.real.ns1.server.com
joebloggs.com.ns2.mydomain.com NS the.real.ns2.server.com

Похоже, использование CNAME нецелесообразно.Может ли IN NS в DNS указывать на CNAME?

Подойдет ли вышеизложенное? Есть ли лучшее решение?

решение1

Так дело не пойдет.

Вам нужно будет опубликовать записи A/AAAA для joebloggs.com.ns1.mydomain.comи joebloggs.com.ns2.mydomain.comпоскольку часть RDATA записи NS является именем хоста, с которым нужно связаться, и, следовательно, у него должны быть записи A/AAAA. Второй набор записей NS никогда не будет запрошен, поскольку метки не являются зонами с SOA.

NS RDATA может быть CNAME, но это не рекомендуется.

Я не вижу, что именно вы пытаетесь сделать/скрыть, делая такие вещи. Вместо этого вы можете сделать одно из следующего:

  1. предоставьте своим клиентам истинные записи NS; это рекомендуемое решение, намного превосходящее все остальные
  2. предоставьте им любые другие виды записей NS, убедившись, что они преобразуются в те же записи A/AAAA, что и настоящие серверы имен (это сильно усложнит изменение их IP-адресов); пока вы предоставляете им записи A/AAAA, они могут быть и joebloggs.com.ns1.mydomain.comт. д. или даже ns1.joebloggs.comи т. п., также называемыми серверами имен vanity; последний случай, однако, подразумевает создание записей Glue в реестре через спонсирующего регистратора, что создаст для вас гораздо больше работы, чем хотелось бы, и практически не принесет никакой выгоды.

Короче говоря, почему вы вообще хотите (пытаетесь) скрыть настоящие серверы имен от своих клиентов?

Связанный контент