Blog archive - як правильно налаштувати dns, щоб потім не було нестерпно боляче

Як правильно налаштувати DNS, щоб потім не було нестерпно боляче ...

«Доменна система імен (Domain Name System, DNS) - це розподілена база даних, яка містить інформацію про комп'ютери, включених в мережу Internet.» (UNIX: керівництво системного адміністратора, Еві Немет та ін. Пер. З англ.)

Типова ситуація. Завантажений новий сервер, пробуємо зайти на нього використовуючи (ssh, ftp, pop3, smtp, telnet - відсутній протокол додати ;-)) з сусідньої машини в локальній мережі. Виявляємо, що з'єднання доводиться чекати кілька хвилин ... В чому справа? Однією з можливих причин може бути невірна настройка DNS на сервері.

Подивимося на прикладах, до яких проблем може привести некоректна настройка DNS

2. Варіація на тему: DNS заданий правильно, але ось мережеве з'єднання між нашим сервером і сервером DNS ненадійне, пакетики втрачаються. Той же результат.

Реальна історія, до речі ... Скільки я часу витратив, поки зрозумів, в чому справа ... ворогові такого не побажаю. Вилікував, до речі, дуже просто. Для всіх машин «внутрішньої» частини мережі були створені фіктивні записи в файлі / etc / hosts сервера. Приблизно так:

172.16.1.1 pc01.l1
172.16.1.2 pc02.l1
172.16.1.3 pc03.l1

Можна було б, звичайно, прописати і реальні імена. Для зручності читання логів.
Примітка: рішення без використання / etc / hosts см. Далі (використання forward-зон)

Наведені приклади показують: до DNS не можна ставитися зневажливо.

Недотримання цього принципу може призвести до серйозних проблем.

Використання forward - зон для одночасного вирішення Internet і Intranet імен

Примітка: Завдання не вирішується простим прописування двох DNS-серверів в /etc/resolv.conf. Hint: Негативна відповідь від одного DNS-сервера не є підставою для звернення до іншого.

Ще одне можливе рішення - вписати forward-зони прямо на интернетовском DNS-сервері. Приблизно так:

Всі зони на одному DNS-сервері

Можливо, це найкращий спосіб. Внутрішня зона підтримується тим же DNS-сервером, що і зовнішня, а щоб ззовні не можна було подивитися структуру внутрішніх зон, для них пишуться правила allow-query і allow-transfer.

На жаль, для того, щоб використовувати цей спосіб, мені довелося б поміняти налаштування DNS на всіх машинах Intranet-мережі. На жаль, я не готовий до подібного подвигу. ;-( Втім, якщо ваша мережа знаходиться ще в процесі становлення, цей спосіб легко застосовний.