Возможно ли создать как статическую, так и динамическую запись A для одного и того же хоста на внутреннем DNS-сервере?

tag-icon tag-icon bind internal-dns dynamic-dns ddns
Возможно ли создать как статическую, так и динамическую запись A для одного и того же хоста на внутреннем DNS-сервере?

Я работаю над исследованием случая, связанного с рисками от небезопасных динамических обновлений DNS. Предположим, что есть внутренний DNS, настроенный на смесь статических и динамически созданных адресов. Рассмотрим интегрированную среду DNS Windows AD.

Мне нужна помощь по нескольким вопросам ниже

  1. Могут ли сосуществовать статическая и динамически созданная запись A для одного и того же хоста, ссылающиеся на разные IP-адреса на DNS-сервере? (например, динамическая запись A, созданная новой системой, введенной в сеть с тем же именем хоста)
  2. Если да, то как будет происходить разрешение DNS в таких случаях? Может ли запрос DNS разрешиться на неправильную динамическую запись A вместо статической записи A?
  3. Можно ли этого избежать, используя безопасную динамическую конфигурацию DNS вместо небезопасных обновлений DDNS? Если да, то как безопасный DDNS может предотвратить такой сценарий.

Любая помощь по этому вопросу будет весьма полезна.

Заранее спасибо.

решение1

Могут ли сосуществовать статическая и динамически созданная запись A для одного и того же хоста?

Имя может разрешаться в несколько IP-адресов, то есть иметь несколько записей Aили AAAA. Клиенты получат весь их набор при запросе имени.

То, как предоставляются IP-адреса, не имеет никакого значения для вышесказанного, за исключением того, что в «динамических» случаях часто обновление на самом деле является заменой, то есть: «пожалуйста, преобразуйте X в адрес Y сейчас, удалив все существующие для него IP-адреса».

Так что все зависит от того, как работает ваша динамическая штука. Если она аддитивная, то можно сделать микс.

Если да, то как будет происходить разрешение DNS в таких случаях? Может ли запрос DNS разрешиться на неправильную динамическую запись A вместо статической записи A?

Если записей несколько A, они все возвращаются. Клиент не может узнать, откуда они берутся (динамические или статические).

Можно ли этого избежать, используя безопасную динамическую конфигурацию DNS вместо небезопасных обновлений DDNS? Если да, то как безопасный DDNS может предотвратить такой сценарий.

Да, а также сделать открытой для динамических обновлений только часть вашей зоны, а не всю зону целиком.

Связанный контент