Questions tagged «domain-name-system»

域名系统,通常由首字母缩写词DNS简称,是一个分层的分布式数据库,其中的键是域名。涉及可公开访问的域名的问题应包括真实的完全合格域名(FQDN)

1
在Windows上启用不安全的DNS更新的实际风险是什么?
在Windows上启用不安全的DNS更新的实际风险是什么? 据我发现,启用不安全的DNS更新是使DHCP Linux客户端向FQDN注册其名称的要求。 我确实想知道这样做涉及的实际风险,以便评估启用这些功能是否可以。 据我所知,一台机器将无法接管另一个保留名称,这将是我现在唯一真正关心的问题。 显然是DDOS,但考虑到我们在这里谈论的是Intranet,我怀疑这可能是真正的风险。 您是否在您的域上启用了它?您是否曾因存在一些问题而不得不禁用它?
6
如何在CentOS中保留诸如旋转,超时之类的resolv.conf选项?
CentOS将/etc/resolv.conf定期清除任何手动更改。在合理的时间内进行故障转移方面,Linux的默认设置很差(每次以相同的顺序查询名称服务器,5秒超时,两次重试)。 因此,您的第一个DNS resolv.conf本质上是关键路径。如果失败,您可以等待10秒钟,然后再进行故障转移。 这些默认值是可调整的(请参见resolv.conf手册页),但是如何使任何更改在CentOS中成为永久性的并在重新启动后保持不变?
2
绑定DNS递归缓慢
我们刚刚使用绑定9.10的最新稳定版本设置了递归DNS服务器。 我们发现递归DNS查找非常慢。1-3秒之间的任何时间。一旦在缓存中查找,DNS就会按预期在几毫秒内解决。 我们将ROOT提示用于递归查找,这似乎是缓慢的原因。如果我们配置了转发器,则DNS解析会降低到100-300ms的合理递归时间。 对于我们要设置的服务,我不想依赖转发器,而是希望使用root提示。 这是我们named.conf文件的主要配置。任何有助于提高性能的指标都将非常有用。 options{ allow-recursion { any; }; allow-query-cache { any; }; allow-query { any; }; listen-on port 53 { any; }; listen-on-v6 port 53 { any; }; dnssec-enable yes; dnssec-validation yes; dnssec-lookaside auto; zone-statistics yes; max-cache-ttl 3600; max-ncache-ttl 3600; /* Path to ISC DLV key */ bindkeys-file …
3
是否可以使用多个负载平衡器将流量重定向到我的应用程序服务器?
我是负载平衡的新手,我想知道是否可以使用多个负载平衡器将流量重定向到我的应用程序服务器。我真的不明白该怎么做。域名不应该与某个服务器的IP地址(在这种情况下,是一个负载均衡器的IP)一对一匹配吗?如果每个负载平衡服务器具有不同的IP,两个负载平衡器(或10个负载平衡器或50或100)如何接收请求?
3
SPF记录中间的“〜all”在解析时是否表示记录结束?
我公司的SPF记录格式如下: “V = SPF1包括:_spf.google.com 〜所有一个MX IP4:XX0.0 / 23包括:spf.example.com所有” 因此,我们的SPF记录中间有一个“〜all”。他们在openspf.com网站上针对“所有”机制说了这一点: 此机制始终匹配。它通常在SPF记录的末尾。 因此,他们并没有说“全部”都应该放在SPF记录的末尾,而通常是在末尾。 在我们公司中,最近我们一直看到从SPF记录中列出的服务器发送的电子邮件中出现了一些软失败,但是我们的SPF记录通过了到目前为止我发现的所有验证工具。 我想知道的是,包含Google Apps(_spf.google.com)之后的“〜all”会立即导致解析停止并且无法识别SPF记录的其余部分吗?传递与软失败将取决于谁在解析它,以及它们如何处理SPF记录的特定实现?是否有任何理由拥有不在SPF记录末尾的“全部”机制? 是的,我知道我们可以更改SPF记录。这个问题更多的是要弄清这一切是如何工作的,而不一定是解决我们的具体情况。
1
域名系统(DNS)服务器Cmdlet的小问题
我想知道我是否需要清除某些缓存或某些问题。 我正在尝试从DNS区域中删除A记录,并将其替换为具有相同主机名的CName记录。 Remove-DnsServerResourceRecord -Zonename $line -InputObject $record -Force Add-DnsServerResourceRecordCName -Zonename $line -Name $hostname -TimeToLive $ttl -HostNameAlias $target 这引发了我: Add-DnsServerResourceRecordCName:无法在服务器NS01的区域zone.tld中创建资源记录@。在C:\ admin \ updatettl.ps1:56 char:4 + Add-DnsServerResourceRecordCName -Zonename $ line -Name $ hostname> -TimeToLive ... + ~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~ + Add-DnsServerResourceRecordCName 有任何想法吗?谢谢
3
DNS服务器已使用任播。添加更多IP会增强可伸缩性吗?
RFC 1034要求我们为DNS服务器分配至少两个IP地址。但是,如果我们使用任播寻址,则已经可以通过单个IP地址实现冗余。BGP任意播似乎可以很好地扩展到数百甚至数千个服务器。 如果是这样,为什么我们仍需要DNS服务器使用多个IP地址?如果我们已经进行了任播,它是否真的增强了冗余(有助于提高可用性),或者这只是神话? 如果仅使用一个IP地址,我们将面临哪些问题和错误? 这样,我的意思是完全省略辅助DNS地址,或者1.2.3.4在某些设置需要至少两个时使用伪IP(例如)作为第二个地址。
2
为什么nslookup在ping时不使用mdns?
在dnsmasq.conf中: address=/local/127.0.0.1 在resolv.conf中: # Generated by NetworkManager domain example.com search example.com nameserver 127.0.0.1 nameserver 10.66.127.17 nameserver 10.68.5.26 我可以使用nslookup: # nslookup www.local Server: 127.0.0.1 Address: 127.0.0.1#53 Name: www.local Address: 127.0.0.1 但我不能使用ping: # ping www.local ping: unknown host www.local 我使用tcpdump来捕获ping lo.local时的lo,没有数据包,而像 # tcpdump -i em1 -n | grep local tcpdump: verbose output …
2
DNS解析在Web浏览器中失败,但是nslookup成功
我们是一个拥有300个席位的小型组织,具有混合BYOD和Active Directory环境(Windows Server 2012 Standard,Windows 7 Enterprise),并且遇到了一个非常奇怪的问题,涉及非常特定范围的故障,无法在我们的域上解析我们组织的域名-加入公司控制的机器。为了便于讨论,我将使用company.com代替我们的域名。 背景: Active Directory域控制器位于172.16.1.3 AD / DC计算机也正在运行DHCP,DNS和HTTP(IIS) IIS在AD / DC机器上托管我们组织在company.com和subdomain.company.com上的网站 我们有一个拆分DNS方案,其中AD / DC服务器用于内部DNS解析,但是另一台异地服务器为公共查询提供DNS解析 与company.com和subdomain.company.com对应的IP地址是我们网络边缘的防火墙(在AD / DC DNS服务器和异地DNS服务器上)使用的公用IP地址。 防火墙已针对NAT进行了正确配置,以使其通过其公用IP地址收到的HTTP和HTTPS请求传递到AD / DC服务器的内部IP并反映 方案1: 加入域的Windows 7 Enterprise计算机上的用户直接连接到我们的本地网络,该本地网络具有由DHCP服务器发出的本地地址172.16.6.100 / 16。 DNS服务器条目由DHCP(172.16.1.3)提供 该用户可以访问在company.com和subdomain.company.com上托管的网站 编辑: nslookup已在这种情况下运行,并从内部DNS服务器(172.16.1.3)正确返回正确的DNS记录。 方案2: 加入域的同一台Windows 7 Enterprise计算机上的同一用户回家,并使用其住宅ISP连接到Internet 客户端计算机的IP和DNS服务器条目由DHCP提供 该用户可以访问任何互联网资源,例如google.com 该用户无法访问company.com或subdomain.company.com上的网站(返回“主机未解析”错误) 当该用户运行的NSLOOKUP company.com他们不要接受由DNS提供了正确的公共IP地址 对IP地址的HTTP / HTTPS请求成功,服务器正确返回了网页 此问题在所有网络浏览器中普遍存在 使用tracert …
2
停用也是DNS服务器的域控制器的最佳实践?
对于大量用作DNS服务器的Active Directory域控制器的停用过程,有两种思路。 将传出的DC的IP地址添加到新的DC,并确保DNS正在侦听该地址。 降级旧的DC,保留DNS角色,并为新服务器配置全局DNS转发器。 显然,在所有服务器和设备都配置为使用新服务器的主IP地址之前,两者都是停滞的,但是有时过渡期可能会相对较长,具体取决于环境的大小。 这里有明确的最佳实践吗?
2
dnsmasq-用于域条目的多个转发服务器?
我想知道是否可以配置dnsmasq将“ server =“条目发送到多个上游服务器? 像这样: server=/facebook.com/1.2.3.4 server=/facebook.com/2.3.4.5 并像它一样根据它是否可用来选择哪个resolv.conf?根据手册页,看起来只允许一个,但是我想知道是否有一种方法可以要求它以这种方式运行。
4
验证名称服务器已在TLD注册中心注册
假设我拥有域名example.com。它已在注册商处注册R。我在的帐户中R为.TLD注册表注册了以下名称服务器: ns1.example.com -> 192.0.2.1 ns2.example.com -> 192.0.2.2 假设还没有域将这些名称服务器用于DNS。如何在我的R帐户之外验证名称服务器是否已在.TLD注册表中成功注册? 例如,VeriSign Inc的WHOIS页面允许您查找注册的.COM名称服务器: 服务器名称:NS1.HOSTGATOR.COM IP地址:67.18.54.2 注册商:ENOM,INC。 Whois服务器:whois.enom.com 推荐连结网址:http://www.enom.com 是否有一种标准方法来查找任何TLD注册管理机构的信息? 为了澄清,我不希望验证域设置为使用的名称服务器,例如: 域名:HOSTGATOR.COM 注册商:ENOM,INC。 Whois服务器:whois.enom.com 推荐连结网址:http://www.enom.com 名称服务器:NS1.P13.DYNECT.NET 名称服务器:NS2.P13.DYNECT.NET 名称服务器:NS3.P13.DYNECT.NET 名称服务器:NS4.P13.DYNECT.NET 状态:clientTransferProhibited 更新日期:2013年1月5日 创建日期:2002年8月22日 到期日期:2015年8月22日 相反,我正在寻找一种ns1.example.tld针对注册表查询单个注册名称服务器(例如)的方法,以查找注册表为该名称服务器(例如123.456.789.001)记录的IP地址。 更新: 我已经联系了VeriSign进行输入,结果证明VeriSign的WHOIS查找名称服务器是专有的。这是他们的回应: 关于您是否能够获得有关在注册处注册但当前未与任何域关联的名称服务器的任何信息,很遗憾,您将无法通过其他途径(例如通过执行DiG)获得此信息。仅当名称服务器连接到域时,名称服务器才会发布到区域中,因此除非该名称服务器与域相关联,否则您将无法获得此信息。另外,DiG可能会为您提供与域关联的名称服务器及其各自IP等的列表。 -Benjamin,VeriSign,Inc.客户服务 @Iian的答案的第二部分是正确的。名称服务器必须与域相关联,以便查找注册表为该名称服务器记录的IP地址。
2
OpenVPN DNS无法解析
我已连接到配置有以下选项的OpenVPN服务器:将VPN重定向为默认网关并推送我的内部DNS服务器: push "dhcp-option DNS 192.168.1.2" push "redirect-gateway def1" 当我做一个: ipconfig /all 我在列表中看到了我的192.168.1.2 DNS服务器。我也可以ping 192.168.1.1成功。 我的问题是,当我尝试ping somesite.internal.dom从内部DNS服务器获取不到结果时。我从OpenDNS(正在处理我的非VPN DNS流量)中得到结果,告诉我该站点不存在。 如果我是ping somesite.internal.dom从直接连接到网络(即未连接VPN)的计算机上来的,则可以正常解析。 如何获得我的OpenVPN连接以首先尝试VPN DNS服务器?还是一起忽略本地DNS通信?
2
由于DNS配置,未从某些发件人接收邮件
我已经注意到我的Google Apps域的异常行为。大多数邮件都按您期望的那样通过,但是经过一段时间,我得出的结论是某些发件人的邮件没有通过。确定了这样的发件人后,他们的邮件不会通过,我要求他尝试向我发送电子邮件,并将“传递失败”响应转发给我的常规gmail。 交付失败响应包含以下代码段: -----会话记录如下:----- <myusername@GHS.L.GOOGLE.COM>...推迟:ghs.l.google.com的连接超时。 通过快速搜索,这帮助我发现了问题,这使我进入了Google Apps帮助论坛上的此页面。实际上,我检查了我的域的DNS记录,并将@其设置为ghs.google.com。(CNAME),不应该这样。将其更改为@ 74.125.93.121 (A)*可解决问题。 我了解在邮件无法通过的情况下,我的域名通过CNAME查找被其规范名称替换,因此邮件被发送到myusername@ghs.l.google.com而不是myusername@mydomain.com。但是,为什么它对绝大多数发件人有效?发送邮件不会通过的发件人是否使用了某种不同的邮件协议,一些奇怪的DNS设置,或者可能是什么? 从我在Google上研究该问题所看到的情况来看,这似乎是一个广泛存在的问题(很多人抱怨来自Battle.net的电子邮件没有通过,这将是一个受欢迎的例子),只是人们似乎并没有请注意,问题出在他们自己的DNS设置上,而不是发件人一方。 那么如何解释呢? *我使用此IP的原因是我在这里阅读的内容,但我认为任何IP都可以解决问题。有人可以确认吗?请注意,仅删除@记录并不能解决问题,必须对其进行更改。
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.