专用网络的顶级域/域后缀？

115

在我们的办公室中，我们有一个纯内部DNS设置的局域网，所有客户端均名为whatever.lan。我也有一个VMware环境，并且在仅虚拟机的网络上，我将虚拟机命名为whatever.vm。

目前，该网络为虚拟机是不是从我们的局域网访问，但我们正在建立一个生产网络将这些虚拟机迁移到，这将是从局域网访问。其结果是，我们正在试图解决对域名后缀/ TLD我们申请，我们正在建立这个新的网络上的嘉宾惯例，但我们不能拿出一个很好的，因为.vm，.local和.lan在我们的环境中都具有现有的内涵。

那么，在这种情况下的最佳实践是什么？在纯内部网络上可以安全使用的TLD或域名列表吗？

— 奥托
source

2

不要使用.local。特别是如果您有任何Apple客户。

— 2009年

2

由于以下原因，.test被搁置了：secure.wikimedia.org/wikipedia/en/wiki/.test

— CWSpear 2012年

1

@CWSpear这不是保留的实际原因 .test，尽管它确实使它成为不连接到Internet的测试网络的安全域。

— voretaq7

10

@Otto最佳实践将指示您（在ICANN认可的TLD下）获得一个“真实”域名，并为您的本地内容创建一个子域名（例如，注册mydomain.com，委托internal.mydomain.com给内部NS并正确配置水平视野DNS（在BIND“意见”），这样你就不会泄漏内部名称/地址到互联网这不是一个TLD /伪TLD漂亮，但它是不容易破损，因为它是你的控制之下。

— voretaq7

9

但是：不要使用已经用于面向公众的生产服务的真实域名。有迹象表明，允许之间的各种相互作用www.example.com，并*.internal.example.com说不准之间www.example.com和*.example.net，最值得注意的是跨站点的cookie设置。在同一域上运行内部和外部服务会增加以下风险：破坏公共服务会侵入内部服务，反之，不安全的内部服务可能会导致内部滥用外部服务。

— bobince 2014年

94

不要使用发明的TLD。如果ICANN要委派它，那么您将遇到很大的麻烦。如果您与碰巧使用相同虚拟TLD的另一个组织合并，则也是一样。这就是为什么首选全球唯一域名。

RFC 2606标准保留了示例，文档，测试的名称，但没有保留用于一般用途的名称，并且出于充分的理由：今天，获得真实唯一的域名是如此简单和廉价，以至于没有充分的理由使用域名。假人一个。

因此，购买iamthebest.org并使用它来命名您的设备。

— Bortzmeyer
source

53

为了完全安全，我会将所有内容都放在公司域名的子域中，例如local.company.org，vm.company.org等。

— drybjed

4

+1。大概您的公司已经有一个域。只需从中创建一个子域。它不必在您的LAN外可见/可解析。

— 丹·卡利

3

好吧，即使聘请了非常好的律师，您也将很难通过调用商标来声明“ .lan”或“ .local”。而且，“仅内部的”这一论点非常弱：组织合并，与合作伙伴组织建立虚拟专用网络，并且仅仅犯一些错误，以至于“私有”名称泄漏。

— bortzmeyer

8

我唯一能解决的问题是您不能真正“购买”域名：您只能租用一个。有些bozo忘记付账（这在一些引人注目的案例中就已经发生了），而您配置的核心部分则归于随机random屋者。那么您使用公司的域名吗？执行人员决定重塑品牌或被收购，而您却被保留了旧名字。.local曾经可以很好地工作，但是现在已经被某些公司以拒绝玩得很好的方式抢占了先机。我真的很想看到类似.lan或.internal这样的内容正式为此保留，但是在那之前，这是最好的选择。

— Joel Coel 2013年

6

同意@Joel Coel，您就是租房者，仅此而已。应该保留两个仅供内部使用的 TLD名称，这些名称在公共场合应被视为无效，并且公共网络无法访问。一个名称将用于家庭内部使用，第二个名称将用于内部业务使用。就像我们拥有不可路由的“私有子网”（192.168.xx和ilk）一样，这两种情况都将被视为“私有TLD”。这使家庭用户除了被迫进入.local和mDNS之外还可以做其他事情。同上，适用于在没有域的NAT后运行内部LAN的小型企业。

— 艾利·佩恩

49

将公司注册域的子域用于您不想在Internet上使用其名称的内部计算机。（然后，当然，仅将这些名称托管在内部DNS服务器上。）以下是虚构的Example Corporation的一些示例。

面向Internet的服务器：
www.example.com
mail.example.com
dns1.example.com

内部机器：
dc1.corp.example.com
dns1.corp.example.com
client1.corp.example.com

我使用“ corp”表示该子域描述了内部公司网络上的计算机，但是您可以在此处使用任何您想要的东西，例如“ internal”：client1.internal.example.com。

还要记住，DNS区域和子域也不必与您的网络编号方案保持一致。例如，我的公司有37个位置，每个位置都有自己的子网，但是所有位置都使用相同的（内部）域名。相反，您可能只有一个或几个子网，但是可以使用许多对等内部域或子域级别来帮助您组织计算机。

— 杰伊·米乔（Jay Michaud）
source

32

使用内部子域的另一个优点是：巧妙地使用搜索后缀和仅主机名而不是FQDN，您可以构建在开发，质量检查和生产中均可使用的配置文件。

例如，您始终在配置文件中使用“ database = dbserv1”。

在开发服务器上，将搜索后缀设置为“ dev.example.com” =>使用的数据库服务器：dbserv1.dev.example.com

在质量检查服务器上，将搜索后缀设置为“ qa.example.com” =>使用的数据库服务器：dbserv1.qa.example.com

在生产服务器上，将搜索后缀设置为“ example.com” =>使用的数据库服务器：dbserv1.example.com

这样，您可以在每个环境中使用相同的设置。

— 格维兹
source

2

那太好了。

— 克里斯·马格努森

19

直到有人用生产搜索后缀对工作站进行错误配置以测试问题，然后又无意间更新了一系列生产记录。

— Joel Coel 2013年

1

这非常粗糙，SRV记录非常易于解析，可以放置在任何区域中，这样同一台数据库服务器可以服务多个区域。在这种情况下，一些代码将填充您的配置文件中的值。您可以使用数据库名称作为SRV密钥，当然也可以使用指向主机名的值。我永远不会依靠搜索后缀。如果它们是秘密的话，您还可以使TXT记录变得很有创意，并可以将它们填充为aes-256加密（然后以base64编码）的值。您可以将TXT记录用于各种事情。

— figtrap

看到了，但是我想要的是example.com，example.dev和example.stg。后2个仅在专用网络上，我可以为零配置访问设置本地DNS服务器吗？对于所有站点，仍在此处使用类似的配置，只是将更改移至tld。易于使用主机文件对.dev进行配置，但配置为零...

— DigitalDesignDj 2016年

14

自从编写了该问题的先前答案以来，已经有一些RFC在某种程度上改变了指南。 RFC 6761讨论了特殊用途的域名，但未提供对专用网络的特定指导。 RFC 6762仍然建议不要使用未注册的TLD，但也承认在某些情况下仍会这样做。由于常用的.local与多播DNS（RFC的主要主题）冲突，因此附录G.私有DNS命名空间建议使用以下TLD：

内联网
内部
私人的
公司
家
lan

IANA似乎可以识别这两个RFC，但是（当前）不包含附录G中列出的名称。

换句话说：您不应该这样做。但是，无论如何，您都决定使用上述名称之一。

— Blihp
source

附录G在您引用的列表之前：“我们完全不建议使用未注册的顶级域”。这是更关键的一点。给出的名称不“建议”使用，他们只是观察的名字看出，将更好地工作比.local这是一种保留MulticastDNS，这是在附录G讨论

— 帕特里克Mevzek

2

我不同意。关键是该建议的荒谬性：“不要这样做……但是当您这样做时……”关于家庭/小型企业/非公开网络应该注册TLD的期望是不现实的。人们都将使用未注册的顶级域名，从而更好的帮助大家出来，说“OK，这里是你可以在内部使用未经注册的顶级域名列表”，而不是假装每个人都将遵循强硬的意见。

— blihp

那时我们将保持分歧。有些人使用TLD是内部使用（例如，.MAIL 在许多文档中可以找到），这一事实正是这些TLD无法委派并且现在无限期失效的原因。因此，继续向人们推荐以这种方式使用TLD会对全球Internet社区造成损害。该建议说，由于某些TLD已经被滥用，因此如果人们不得不滥用，则应该重用那些顶级域名，而不是滥用新的顶级域名。RFC2606明确允许TLD在内部使用，这将起作用：.EXAMPLE .TEST .INVALID

— Patrick Mevzek，

12

如前所述，您不应将未注册的TLD用于私有网络。尤其是现在ICANN允许几乎任何人都注册新的TLD。然后，您应该使用真实域名

另一方面，RFC 1918很清楚：

对此类地址的间接引用应包含在企业内部。此类引用的突出示例是DNS资源记录和其他引用内部私有地址的信息。因此，您的名称服务器还应该使用视图来防止私人记录在Internet上传输。

— 贝努瓦
source

10

我们倾向于认为主机的虚拟命名与物理名称没有什么不同-实际上，我们已经从物理层抽象了主机配置（软件）。

因此，我们购买了硬件项目，并在它们之上创建了主机项目（并使用简单的关系在我们的文档中进行显示）。

目的是当主机存在时，DNS不应成为决定因素-因为我们已经将计算机从一个空间移到另一个空间-例如，性能低下的Web应用无需消耗昂贵的CPU周期-对其进行虚拟化，并且保留了其命名方案，一切都将继续进行。

— 迈克·菲德勒
source

-4

我不确定这是否会对您有所帮助，但是对于我的AWS帐户中的内部DNS，我将其.aws用作tld，它似乎运行得很好。

我知道有些顶级域名您应该完全不使用，但是除了那些顶级域名之外，我不认为这太严格了。

我在一些较大的公司工作，他们将身份验证源用作TLD，这意味着如果它是MS / Windows服务器，使用Active Directory作为身份验证源，它将是.ad，而另一些则是.ldap（为什么？ “不只是使用相同的源？还是从相同的目录服务复制的服务器？我不知道，那是当我到达那里的时候）

祝好运

— 贾斯汀
source

2

亚马逊现在已经注册.aws为TLD，因此您最终可能会发现问题：nic.aws

— Mark

1

有关信息，.aws最近已注册为“ 2016年3月25日” => newgtlds.icann.org/en/program-status/delegated-strings

— BrunoAdelé'16

虽然我认为使用假冒的顶级域名（TLD）没什么大不了的，但是至少在整个系统都关闭并且使用代理与整个Internet进行通信的情况下，至少不是这样，但是“ .aws”是一个非常糟糕的选择，除非您不在AWS中！有太多可能的情况，您将无法再与AWS通信。

— figtrap