¿Es malo que el DNS inverso para dos IP apunte al mismo nombre de dominio?

9

Estoy en el proceso de configurar un nuevo servidor para mi aplicación web (el sitio se moverá, no es para el equilibrio de carga o similar), que tiene una dirección IP diferente de mi servidor existente. Mi servidor actual tiene un registro PTR de DNS inverso configurado apuntando su IP a mydomain.com. ¿Es malo configurar un registro PTR DNS inverso para la nueva IP que apunta a mydomain.com también? ¿O debo esperar hasta que haga mi migración para configurar el registro?

Actualización : olvidé mencionar que el registro A para mydomain.com apunta a la dirección IP del servidor anterior, no a la nueva, si es importante.

domain-name-system reverse-dns Daniel Vandersluis
fuente
No me queda claro qué servicio particular está ejecutando su sistema. Dices dominio, ¿estás hablando de un servidor web? El registro PTR apenas se usa para HTTP, por lo que probablemente no importe en absoluto. OTOH La configuración incorrecta de PTR puede romper seriamente el correo electrónico.
Zoredache
Ambos servidores son servidores web que también envían y reciben correo electrónico (por eso lo pregunté)
Daniel Vandersluis
2
El correo saliente del nuevo servidor atraerá puntos de spam. Por ejemplo, SpamAssasin etiquetará el correo con "RDNS_NONE" (entregado a la red interna por un host sin rDNS). Incluso hace esto si el nuevo servidor, que está enviando un correo, TIENE el dns inverso correcto. La razón de esto es porque la url no se asigna a esta ip.
Robino
Para su información, el puntaje que obtiene por esto es -1.274, por lo que si su correo no es spam de otra manera, probablemente ni siquiera lo notará.
Robino

Respuestas:

9

Si es conveniente para usted como una solución temporal, debería ser perfectamente aceptable. No puedo pensar en muchos escenarios en los que tener múltiples registros PTR con el mismo nombre de host introducirá problemas técnicos.

Un escenario potencial sería la entrega de correo en el nuevo servidor. Al menos, si la búsqueda directa se resuelve en el servidor anterior. Los servidores de correo volubles rebotarán el correo sin que los nombres de host / IP puedan resolver en ambos sentidos y coincidir.

Fuera de eso, y realmente lo estoy intentando, no puedo pensar en ninguno. Si hay más, es probable que tenga un alcance limitado como el anterior.

Warner
fuente
¿Qué sucede si tiene 100 servidores de correo (por lo que es a prueba de fallas), no le gustaría que todos los servidores respondan con el PTR adecuado?
Alexis Wilke
5

Si tiene dos direcciones IP que se resuelven con el mismo nombre de dominio, entonces no puede tener DNS inverso confirmado hacia adelante (FCrDNS) para ambos, que es la verificación que utilizan muchos esquemas de autenticación (como servidores de correo electrónico al decidir si entregar su correo).

Para reenviar el DNS inverso confirmado, una dirección IP debe resolverse en un nombre de host que resuelva esa dirección IP y solo esa dirección IP.

Sin embargo, podría tener una IP resolviendo en sub01.example.com y otra resolviendo en sub02.example.com y todavía tener FCrDNS para ambos.

thomasrutter
fuente
Hmm, ¿pero esto significa que no puedes equilibrar la carga de estos servicios? Me pregunto si esto podría pasar la verificación TLS en HTTPS o LDAPS.
sorin
Esto no debería afectar ningún servicio que tenga, es decir, no debería afectar su capacidad para hacer HTTPS o LDAPS o para equilibrar la carga con muchos servidores. La comprobación de FCrDNS no tiene que usar el mismo nombre de host que el nombre de host que está utilizando para acceder al servidor. Puede usar cualquier nombre de host; por lo general, un nombre de host interno no necesariamente visto por los usuarios finales a menos que hayan realizado una verificación PTR. Todo lo que se requiere es que cada IP única visible para el mundo use algo para un nombre de host único que se resuelva en esa IP.
thomasrutter
1
Por ejemplo, solo busqué google.com y la IP que obtuve fue 216.58.220.110. El registro inverso para eso es syd10s01-in-f14.1e100.net. Lo busqué y obtuve la misma IP: 216.58.220.110. Para que el servidor de Google pase la verificación FCrDNS, aunque el nombre que usó para ese propósito, syd10s01-in-f14.1e100.net, no tuvo nada que ver con el nombre por el que accedo a ese servidor (que es google.com) o los nombres utilizados para cosas como SSL.
thomasrutter
4

Siempre que mantenga su registro A apuntando a una dirección IP específica (sin round robin), esto no debería causar ningún problema.

Por supuesto, la mejor práctica es tener siempre una resolución 1 <-> 1 para cerrar el círculo .

Hay una explicación detallada en digitalpoint.com . El punto es que es un objetivo de diseño de RFC, pero el enfoque práctico es que, a veces, ni siquiera tiene acceso a algunas entradas inversas (por ejemplo, un antiguo ISP que tiene registros obsoletos), y no debería ser un problema (suponiendo que solo use 1 dirección "en vivo").

En resumen:

  • Si desea que su entrada DNS inversa "espere" cuando migra, parece absolutamente correcto.
  • Si está utilizando ambos servidores al mismo tiempo para la producción, no estoy seguro. Teóricamente es una mala práctica (ver RFC 1912 ), pero no creo que nada más que el correo se quejaría.
Karol J. Piczak
fuente