hu vs. local

Hálózatok egyéb

Miért jó a céges hálózatban működő DNS-szerveren a céges gépek számára külön végződésű tartományt létrehozni?

Pl. ceg.local.

Ugyanakkor van egy ceg.hu. tartomány is, aminek a ceg.hu. zónáját a szolgáltatónál lévő szerver tárolja.

Nem látom értelmét a külön ceg.local. tartománynak.
Ti hogyan csináljátok, és miért úgy?

  • 2219 megtekintés

Mégújabb "best practices":

http://support.microsoft.com/kb/909264

"If the organization has an Internet presence, use names that are relative to the registered Internet DNS domain name. For example, if you have registered the Internet DNS domain name contoso.com, use a DNS domain name such as corp.contoso.com for the intranet domain name."

( sLamma | 2010. 08. 03., k – 13:55 )

A Shrektől megtanult "Jobb kint, mint bent" felfogás nem minden esetben érvényes. Jobb nem összekeverni a belső hálózat neveit a kifelé osztott nevekkel.
Amúgy meg trey-nél az igazság.

( uid_17784 | 2010. 08. 03., k – 15:14 )

Csak idézem magam: "Ti hogyan csináljátok, és miért úgy?"

Azt gondoltam, hogy elég egyértelmű, mire vagyok kíváncsi.
Tehát nem arra vagyok kíváncsi, hogy a Microsoft mit ajánl, hanem ti mit tartotok jónak, és miért.

DNS-téren felhalmozott itteni szakértelemre vagyok kíváncsi, hátha tanulhatok valami újat!

Mi úgy csináluk mindent 99%-ban*, ahogy a Microsoft ajánlja. Hogy miért úgy? Mert tapasztalat, hogy ha valamit ajánl és te attól eltérsz, akkor az később fájhat vagy fájni fog. Nem mellesleg, a kutyának hiányzik, hogy szupport kérése esetén valami okos azzal jöjjön, hogy "miért így van telepítve, ha a Microsoft a best practices-ben azt ajánlja".

(* kivéve, ha jó és megalapozott tapasztalati okunk van arra, hogy attól eltérjünk)

--
trey @ gépház

( zither | 2010. 08. 03., k – 15:21 )

Semmiképpen sem jó dolog, ha a külső és a belső domain név egyezik (itt a teljes kvalifikált domain nevet értem). Ha ugyan is ez a helyzet áll fent, bizonyos gépek név szerint elérhetetlenné válnak (például ha van egy www.cegnev.hu címen weblapod szolgáltatónál és a belső neved is cegnev.hu, akkor nem fogod tudni elérni például a saját honlapodat, feltöltő ftp szerveredet).
Az egyetlen megoldás az ha önálló neve van a hálózatoknak. Elterjedtebb megoldás a local utótag használata (cegnev.hu.local), amivel teljesen megszakítod a függőséget az internet dns kiszolgálóitól. Ritka esetben használatos a local.cegnev.hu, vagy valami hasonló aldomain alapú megoldás. Ez utóbbi esetet inkább akkor használható, ha szolgáltatásokat, gépeket stb... ki akarnak ajánlani internet számára. Ez utóbbi eset viszont igényel módosításokat a regisztrátornál is.

Zavard össze a világot: mosolyogj hétfőn.

( uid_194 | 2010. 08. 03., k – 15:29 )

Egyszer voltam felelos hasonlo dologert, akkor azert lett .akarmi, mert igy volt kenyelmes. Volt egy csomo .akarmi host, ami csak belso halozatrol elerheto, es ha akartam egy "search akarmi" -t resolv confba, igy kenyelmesebb volt.

Meg lehetett volna csinalni hogy search akarmi.hu, es benti halos ip cimmel felvenni a kulso domaineket is, de az megkavarja a tisztelt dolgozokat, mert olyba tunhet nekik, hogy kivulrol is latszodhat egy-ket szolgaltatas, ami pedig nem igaz.

Pl, adott egy adatbazis szerver, ami kivulrol nem elerheto. Hivjuk ezt spajznak, mert az szep szo.

ssh spajz.akarmi vs ssh spajz.akarmi.hu

Az elsobol eleg nyilvanvaloan latszik, hogy internal, az utobbibol nem. Ez bosszanto, es felreertesekre adhat okot. Szoval abban az esetben, amikor van olyan belso host, ami kivulrol nem latszik, szerintem hasznos a .local/.akarmi/.cegnev/.stb megoldas.

( dap | 2010. 08. 03., k – 15:53 )

Én a .{private,office,dmz,lan}.akarmi.hu -t favorizálom, mivel ehhez nem kötelező a céges DNS szervert használni. Ha pl a juzer kintről több VPN -be is bejár és egyik VPN felülírja a másik DNS beállítását, akkor sincs sírás.

( hrgy84 | 2010. 08. 04., sze – 01:04 )

En a .local -t elsosorban virtualis rendszereknel hasznalom, mert igy veletlen sincs nevutkozes letezo domainekkel. Igy peldaul hasznalhatom a mittudomain.local -t is.

Cegeknel azert tud a .local domain jo lenni, mert nem feltetlen szeretnenek minden DNS cimet kintrol is feloldani. Peldaul egy full-belso Samba szervert vagy egy switchet tok folosleges belenyomni a kulsos zonaba, reszben mert jo esellyel belsos IP cime van, reszben mert senkinek semmi koze ahhoz a gephez kintrol.

A ceges DNS szerver egyebkent nagyon sok josagra hasznalhato, peldaul kerberos hitelesites tamogatasara, XMPP szerverhez meg egyenesen elengedhetetlen.
-- 


Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

( uid_17784 | 2010. 08. 04., sze – 13:05 )


 +---+     +---+
 |D1 |     |H1 |
 +---+     +---+
   |         |
   |         |  
 ---------------------------Internet
   |
   |A1
 +---+
 |GW |
 +---+
   |
 ---------------------------LAN
   |       |        |
   |       |        |
 +---+   +---+    +---+
 |D2 |   |H2 |    |H3 |
 +---+   +---+    +---+

D1 az interneten értelmezhető ceg.hu. zónaadatbázist tárolja, és elsődleges kiszolgálója (master).
D2 az LAN-on értelmezhető ceg.hu. zónaadatbázist tárolja, és elsődleges kiszolgálója (master).
D1 és D2 egymástól független kiszolgálója a ceg.hu. zónának.

Internet felöli elérés
H1 H2-n lévő szolgáltatást akarja elérni, azaz a H2.ceg.hu.-t.
D1-en lévő ceg.hu. zónából lekérdezi a H2 IP-címét. (GW A1 IP-címétét kapja meg. GW DNAT-on keresztül H2-re irányítja a kérést.)

LAN-ból történő elérés
H3 H2-ön lévő szolgáltatást akarja elérni, azaz a H2.ceg.hu.-t.
D2-ön lévő ceg.hu. zónából lekérdezi a H2 IP-címét.

Előnyök
Ha H2 az internetre költözik, tehát már nem a LAN-ban lesz fizikailag, a H3 ebből semmit sem fog észrevenni.
Tehát H3 H2-re továbbra is H2.ceg.hu. néven fog hivatkozni.

Ha H2 az internetre költözik, tehát már nem a LAN-ban lesz fizikailag, a H1 ebből semmit sem fog észrevenni.
Tehát H1 H2-re továbbra is H2.ceg.hu. néven fog hivatkozni.

Tehát az a lényeg, hogy bármelyik hoszt bármelyik hosztra mindig azonos tartománynévvel fog hivatkozni, függetlenül attól, hogy az egyes hosztok időközben megváltoztatják a fizikai helyüket.

Az internetet felé nem publikus hosztok csak a LAN-ról érhetők el. A távoli munkatársak VPN-en csatlakoznak, tehát részévé vállnak a helyi hálózatnak. Innetől hoszt.ceg.hu. formában elérik azokat a hosztokat is, amelyeket a D1 által tárolt zónában nincsenek felsorolva.

Tényleg nem értem, hogy miért jó külön doménnevet adni kintre meg bentre!?

Vannak gepek, amik a budos eletbe nem fognak publicba kerulni.
Azon felul - bar en nem fogok szep abrakat rajzolni - ugyanez sokkal egyszerubben megoldhato, ha van .local is, ugyanis
- belul mindenki a .local cimet hasznalja (ugye a VPN 'bent'-nek szamit)
- ha egy gep kikoltozik publicba, akkor annyi tortenik, hogy a .hu domainbe felvesznek egy uj rekordot
- ekkor "bent" mindenki tovabbra is a .local cimmel tud ra hivatkozni, kivulrol pedig ugye innentol .hu-kent erheto el.

Egyebkent pedig en nem szeretem ezt az "eltakarom a public DNS szervert egy privattal" dolgot. Ha igy van, bentrol nehezebben derulhet ki, hogy valami gebax van a kulso DNS szerverrel, mert hiszen a belso minden keresre kezseggel felel.

Raadasul a .local-os megoldashoz eleg 1 azaz egy darab DNS szerver.
-- 


Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

En meg szeretem elvalasztani a public es a privat dolgokat egyertelmuen. Ha ranezek egy gepnevre, akkor tudjam hogy privat vagy public anelkul, hogy tudnom kene, melyik geprol van szo. Szamomra a local ennek a problemanak egy megoldasa. Nyilvan lehetne ugy is, hogy akaarmi.office.mittudomain.com, de... szerintem ez is izles kerdese.
-- 


Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.