In unserem Büro haben wir ein lokales Netzwerk mit einem rein internen DNS-Setup, auf dem alle Clients mit dem Namen "" bezeichnet sind whatever.lan
. Ich habe auch eine VMware-Umgebung und im reinen Netzwerk für virtuelle Maschinen bezeichne ich die virtuellen Maschinen whatever.vm
.
Derzeit ist dieses Netzwerk für die virtuellen Maschinen nicht erreichbar von unserem lokalen Netzwerk, aber wir die Einrichtung eines Produktionsverbunds auf diese virtuellen Maschinen zu migrieren , was wird aus dem LAN erreichbar sein. Als Folge versuchen wir auf einer Konvention für die Domain - Suffix / TLD wir die Gäste auf dieses neue Netzwerk kommen wir einrichten, aber wir können nicht mit einem guten, da gelten zu regeln .vm
, .local
und .lan
Alle haben bestehende Konnotationen in unserer Umgebung.
Was ist die beste Vorgehensweise in dieser Situation? Gibt es eine Liste von TLDs oder Domainnamen, die für ein rein internes Netzwerk sicher verwendet werden können?
.test
ist reserviert, obwohl es es eine sichere Domäne für die Verwendung macht Testnetze, die nicht mit dem Internet verbunden werden.mydomain.com
,internal.mydomain.com
an einen internen NS delegieren und Split-Horizon-DNS ordnungsgemäß konfigurieren ( "Aufrufe" in BIND), damit Sie keine internen Namen / Adressen an das Internet senden. Es ist nicht so hübsch wie eine TLD / Pseudo-TLD, aber es ist weniger anfällig für Brüche, da es unter Ihrer Kontrolle steht.www.example.com
und*.internal.example.com
nicht zwischenwww.example.com
und zulässig sind*.example.net
, insbesondere die standortübergreifende Cookie-Einstellung. Das Ausführen von internen und externen Diensten auf derselben Domäne erhöht das Risiko, dass ein Kompromiss eines öffentlichen Dienstes die internen Dienste beeinträchtigt, und umgekehrt, dass ein unsicherer interner Dienst den internen Missbrauch eines externen Dienstes provozieren kann.Antworten:
Verwenden Sie keine erfundene TLD. Wenn ICANN es delegieren würde, wären Sie in großen Schwierigkeiten. Dasselbe gilt, wenn Sie mit einer anderen Organisation fusionieren, die zufällig dieselbe Dummy-TLD verwendet. Aus diesem Grund werden global eindeutige Domainnamen bevorzugt.
Der Standard RFC 2606 reserviert Namen für Beispiele, Dokumentationen, Tests, aber nichts für den allgemeinen Gebrauch und aus guten Gründen: Heute ist es so einfach und billig, einen echten und eindeutigen Domainnamen zu erhalten, dass es keinen guten Grund gibt, einen zu verwenden Dummkopf.
Kaufen
iamthebest.org
und benennen Sie Ihre Geräte damit.quelle
Verwenden Sie eine Subdomain der registrierten Domain Ihres Unternehmens für interne Computer, deren Namen nicht im Internet verfügbar sein sollen. (Dann hosten Sie natürlich nur diese Namen auf Ihren internen DNS-Servern.) Hier einige Beispiele für die fiktive Example Corporation.
Mit dem Internet verbundene Server:
www.example.com
mail.example.com
dns1.example.com
Interne Maschinen:
dc1.corp.example.com
dns1.corp.example.com
client1.corp.example.com
Ich habe "corp" verwendet, um zu kennzeichnen, dass diese Unterdomäne Maschinen im internen Unternehmensnetzwerk beschreibt, aber Sie können hier alles verwenden, was Sie möchten, z. B. "internal": client1.internal.example.com.
Denken Sie auch daran, dass DNS-Zonen und -Unterdomänen nicht mit Ihrem Netzwerknummernschema übereinstimmen müssen. Mein Unternehmen verfügt beispielsweise über 37 Standorte mit jeweils eigenem Subnetz, aber alle Standorte verwenden denselben (internen) Domainnamen. Umgekehrt könnten Sie nur ein oder wenige Subnetze haben, aber viele interne Peerdomänen oder Subdomänenebenen, um Ihre Computer besser organisieren zu können.
quelle
Die Verwendung einer internen Unterdomäne bietet einen weiteren Vorteil: Durch die geschickte Verwendung von Suchsuffixen und nur Hostnamen anstelle von FQDN können Sie Konfigurationsdateien erstellen, die sowohl in der Entwicklung als auch in der Qualitätssicherung und Produktion funktionieren.
Beispielsweise verwenden Sie in Ihrer Konfigurationsdatei immer "database = dbserv1".
Auf dem Entwicklungsserver setzen Sie das Suchsuffix auf "dev.example.com" => verwendeter Datenbankserver: dbserv1.dev.example.com
Auf dem QA-Server setzen Sie das Suchsuffix auf "qa.example.com" => verwendeter Datenbankserver: dbserv1.qa.example.com
Und auf dem Produktionsserver setzen Sie das Suchsuffix auf "example.com" => verwendeter Datenbankserver: dbserv1.example.com
Auf diese Weise können Sie in jeder Umgebung dieselben Einstellungen verwenden.
quelle
Seitdem die vorherigen Antworten auf diese Frage geschrieben wurden, gibt es einige RFCs, die die Richtlinien etwas ändern. RFC 6761 behandelt Domänennamen mit besonderer Verwendung, ohne spezifische Richtlinien für private Netzwerke bereitzustellen. RFC 6762 empfiehlt weiterhin, keine nicht registrierten TLDs zu verwenden, erkennt jedoch auch an, dass es Fälle gibt, in denen dies ohnehin geschehen wird. Da die häufig verwendeten lokalen Konflikte mit Multicast-DNS (dem Hauptthema des RFC) auftreten, werden in Anhang G. Private DNS-Namespaces die folgenden TLDs empfohlen:
IANA scheint beide RFCs zu erkennen , enthält jedoch (derzeit) nicht die in Anhang G aufgeführten Namen.
Mit anderen Worten: Sie sollten es nicht tun. Wenn Sie sich dennoch dazu entschließen, verwenden Sie einen der oben genannten Namen.
quelle
.local
für MulticastDNS reserviert sind..MAIL
TLDs wie interne verwendeten (zum Beispiel in vielen Dokumentationen), ist genau der Grund, warum diese TLDs nicht delegiert werden konnten und jetzt auf unbestimmte Zeit tot sind. Daher ist es für die globale Internet-Community ein schlechter Dienst, den Menschen weiterhin zu empfehlen, TLDs auf diese Weise zu verwenden. Der Rat besagt, dass, da einige TLDs bereits so missbraucht werden, Menschen, die missbraucht werden müssen, diese wiederverwenden sollten, anstatt neue zu missbrauchen. RFC2606 ist klar für die TLDs intern zu verwenden, die funktionieren:.EXAMPLE
.TEST
.INVALID
Wie bereits erwähnt, sollten Sie keine nicht registrierte TLD für Ihr privates Netzwerk verwenden. Besonders jetzt, wo ICANN es fast jedem erlaubt, neue TLDs zu registrieren. Sie sollten dann einen echten Domainnamen verwenden
Auf der anderen Seite ist der RFC 1918 klar:
quelle
Wir neigen dazu, keinen Unterschied zwischen der virtuellen Benennung von Hosts und der physischen zu berücksichtigen. Tatsächlich haben wir die Host-Konfiguration (Software) von der physischen Ebene abstrahiert.
Also kaufen wir Hardware-Gegenstände und erstellen Host-Gegenstände darüber (und verwenden eine einfache Beziehung, um dies in unserer Dokumentation zu zeigen).
Der Zweck ist, dass wenn ein Host vorhanden ist, DNS nicht der entscheidende Faktor sein sollte - da wir Maschinen haben, die von einem Bereich zum nächsten wechseln - zum Beispiel muss eine leistungsschwache Web-App keine teuren CPU-Zyklen verbrauchen - virtualisieren , und es behält sein Namensschema bei, alles funktioniert weiter.
quelle
Ich bin mir nicht sicher, ob dies hilfreich ist, aber für interne DNS in meinem AWS-Konto verwende ich
.aws
als tld und es scheint einwandfrei zu funktionieren.Ich weiß, dass es einige TLDs gibt, die Sie einfach nicht verwenden sollten, aber abgesehen von diesen, denke ich, ist es nicht zu streng.
Ich habe bei einigen größeren Unternehmen gearbeitet, bei denen die Authentifizierungsquelle als TLD verwendet wurde. Das heißt, wenn es sich um einen MS / Windows-Server handelte und Active Directory als Authentifizierungsquelle verwendet wurde, war dies der Fall
.ad
, und einige andere waren es.ldap
(Warum wurden sie verwendet?) Verwenden Sie nicht nur dieselbe Quelle oder Server, die vom selben Verzeichnisdienst repliziert werden? Ich weiß nicht, es war so, als ich dort ankam.Viel Glück
quelle
.aws
als TLD registriert, so dass möglicherweise Probleme auftreten können: nic.aws