Est-il mauvais que le DNS inverse pour deux IP pointe vers le même nom de domaine?

9

Je suis en train de configurer un nouveau serveur pour mon application web (le site sera déplacé, ce n'est pas pour l'équilibrage de charge ou similaire), qui a une adresse IP différente de mon serveur existant. Mon serveur actuel a un enregistrement DNS PTR inversé pointant son IP vers mydomain.com. Est-il mauvais de configurer un enregistrement DNS PTR inversé pour la nouvelle IP pointant également vers mydomain.com? Ou dois-je attendre jusqu'à ce que je fasse ma migration pour configurer l'enregistrement?

Mise à jour : j'ai oublié de mentionner, l'enregistrement A pour mydomain.com pointe vers l'adresse IP de l'ancien serveur, pas la nouvelle, si cela est important.

domain-name-system reverse-dns Daniel Vandersluis
la source
Je ne sais pas quel service particulier votre système exécute. Vous dites domaine, parlez-vous d'un serveur web? L'enregistrement PTR est à peine utilisé pour HTTP, donc cela n'a probablement pas d'importance du tout. Une configuration PTR incorrecte OTOH peut sérieusement casser le courrier électronique.
Zoredache
Les deux serveurs sont des serveurs Web qui envoient et reçoivent également des e-mails (c'est pourquoi j'ai demandé)
Daniel Vandersluis
2
Le courrier sortant du nouveau serveur attirera des points de spam. Par exemple, SpamAssasin marquera le courrier avec le "RDNS_NONE" (remis au réseau interne par un hôte sans rDNS). Il le fait même si le nouveau serveur, qui envoie un courrier, a le DNS inverse correct. La raison en est que l'URL ne correspond pas à cette adresse IP.
Robino
Pour votre information, le score que vous obtenez est -1.274, donc si votre courrier n'est pas du spam de toute autre manière, vous ne le remarquerez probablement même pas.
Robino

Réponses:

9

Si cela vous convient comme solution temporaire, elle devrait être parfaitement acceptable. Je ne peux pas penser à de nombreux scénarios où plusieurs enregistrements PTR avec le même nom d'hôte entraîneront des problèmes techniques.

Un scénario potentiel serait la livraison du courrier sur le nouveau serveur. Au moins, si la recherche directe se résout sur l'ancien serveur. Les serveurs de messagerie inconstants feront rebondir le courrier sans que les noms d'hôtes / IP ne puissent résoudre les deux façons et correspondre.

En dehors de ça, et j'essaye vraiment, je ne pense à aucun. S'il y a plus, il est probable que sa portée soit limitée comme ci-dessus.

Warner
la source
Que se passe-t-il si vous avez 100 serveurs de messagerie (donc c'est à sécurité intégrée), ne voudriez-vous pas que tous les serveurs répondent comme ayant le PTR approprié?
Alexis Wilke
5

Si vous avez deux adresses IP résolvant le même nom de domaine, vous ne pouvez pas avoir de DNS inversé confirmé (FCrDNS) pour les deux, ce qui est la vérification que de nombreux schémas d'authentification utilisent (comme les serveurs de messagerie pour décider de remettre ou non votre courrier).

Afin d'obtenir un DNS inversé confirmé avant, une adresse IP doit se résoudre en un nom d'hôte qui résout cette adresse IP et uniquement cette adresse IP.

Cependant, vous pouvez avoir une adresse IP se résolvant en sub01.example.com et une autre en sub02.example.com et avoir toujours FCrDNS pour les deux.

thomasrutter
la source
Hmm, mais cela signifie que vous ne pouvez pas équilibrer la charge de ces services? Je me demande si cela pourrait passer la vérification TLS sur HTTPS ou LDAPS.
sorin
Cela ne devrait pas affecter les services dont vous disposez, c'est-à-dire que cela ne devrait pas affecter votre capacité à faire HTTPS ou LDAPS ou à équilibrer la charge avec de nombreux serveurs. La vérification FCrDNS n'a pas besoin d'utiliser le même nom d'hôte que le nom d'hôte que vous utilisez pour accéder au serveur. Il peut utiliser n'importe quel nom d'hôte; généralement un nom d'hôte interne qui n'est pas nécessairement vu par les utilisateurs finaux, sauf s'ils ont effectué une vérification PTR. Tout ce qui est requis, c'est que chaque adresse IP unique visible par le monde utilise quelque chose pour un nom d'hôte unique qui se résout à cette adresse IP.
thomasrutter
1
Par exemple, je viens de rechercher google.com et l'adresse IP que j'ai obtenue était 216.58.220.110. L'enregistrement inverse pour cela est syd10s01-in-f14.1e100.net. J'ai recherché cela et j'ai obtenu le même IP: 216.58.220.110. Pour que le serveur Google passe la vérification FCrDNS, même si le nom qu'il a utilisé à cette fin, syd10s01-in-f14.1e100.net, n'avait rien à voir avec le nom par lequel j'accède à ce serveur (qui est google.com) ou les noms utilisés pour des choses comme SSL.
thomasrutter
4

Tant que vous conservez votre enregistrement A pointant vers une adresse IP spécifique (pas de round robin), cela ne devrait pas poser de problème.

Bien sûr, la meilleure pratique consiste à toujours avoir 1 <-> 1 résolution pour fermer le cercle .

Il y a une explication approfondie sur digitalpoint.com . Le point est, c'est l'objectif de conception RFC, mais l'approche pratique est - parfois, vous n'avez même pas accès à certaines entrées inversées (par exemple, un ancien FAI ayant des enregistrements périmés), et cela ne devrait pas être un problème (en supposant que vous utilisez uniquement 1 adresse "live").

Donc en bref:

  • Si vous voulez que votre entrée DNS inversée vous "attende" lorsque vous migrez - cela semble absolument OK.
  • Si vous utilisez les deux serveurs en même temps pour la production - je ne suis pas sûr. Théoriquement, c'est une mauvaise pratique (voir RFC 1912 ), mais je ne pense pas que le courrier puisse s'en plaindre.
Karol J. Piczak
la source