É ruim ter o DNS reverso para dois IPs apontar para o mesmo nome de domínio?

9

Estou no processo de configurar um novo servidor para meu aplicativo Web (o site será movido, não é para balanceamento de carga ou algo semelhante), que tem um endereço IP diferente do meu servidor existente. Meu servidor atual tem um registro PTR DNS reverso configurado, apontando seu IP para mydomain.com. É ruim configurar também um registro PTR DNS reverso para o novo IP que aponta para mydomain.com? Ou devo esperar até fazer minha migração para configurar o registro?

Atualização : esqueci de mencionar que o registro A do mydomain.com aponta para o endereço IP do servidor antigo, e não o novo, se for o caso.

domain-name-system reverse-dns Daniel Vandersluis
fonte
Não está claro para mim qual serviço específico seu sistema está executando. Você diz domínio, você está falando de um servidor web? O registro PTR mal é usado para HTTP, portanto, provavelmente não importa. A configuração incorreta do PTR do OTOH pode quebrar seriamente o email.
Zoredache
Ambos os servidores são servidores web que também enviar e receber e-mail (que é por isso que pedi)
Daniel Vandersluis
2
As mensagens enviadas do novo servidor atrairão pontos de spam. Por exemplo, o SpamAssasin marcará as mensagens com o "RDNS_NONE" (entregue na rede interna por um host sem rDNS). Ele ainda faz isso se o novo servidor, que está enviando um email, possui o DNS reverso correto. A razão para isso é porque o URL não é mapeado para este IP.
Robino
Para sua informação, a pontuação que você obtém é -1,274; portanto, se seu e-mail não for spam de qualquer outra forma, você provavelmente nem perceberá.
Robino

Respostas:

9

Se for conveniente para você como uma solução temporária, deve ser perfeitamente aceitável. Não consigo pensar em muitos cenários em que ter vários registros PTR com o mesmo nome de host apresentará problemas técnicos.

Um cenário potencial seria a entrega de correio no novo servidor. Pelo menos, se a pesquisa direta resolver para o servidor antigo. Os servidores de email inconstantes devolvem os emails sem que os nomes de host / IPs consigam resolver os dois lados e a correspondência.

Fora isso, e estou realmente tentando, não consigo pensar em nada. Se houver mais, é provável que tenha um escopo limitado, como acima.

Warner
fonte
E se você tiver 100 servidores de correio (por isso é à prova de falhas), não gostaria que todos os servidores respondessem como tendo o PTR adequado?
Alexis Wilke
5

Se você tiver dois IPs resolvendo para o mesmo nome de domínio, não poderá ter o DNS reverso confirmado para a frente (FCrDNS) para ambos, que é a verificação que muitos esquemas de autenticação usam (como servidores de e-mail ao decidir entregar sua correspondência).

Para avançar o DNS reverso confirmado, um endereço IP deve resolver para um nome de host que resolva novamente esse endereço IP e apenas esse endereço IP.

No entanto, você pode ter um IP resolvendo para sub01.example.com e outro resolvendo para sub02.example.com e ainda ter o FCrDNS para ambos.

thomasrutter
fonte
Hmm, mas isso significa que você não pode equilibrar a carga desses serviços? Gostaria de saber se isso poderia passar na verificação TLS em HTTPS ou LDAPS.
sorin
Isso não deve afetar os serviços que você possui, ou seja, não deve afetar sua capacidade de executar HTTPS ou LDAPS ou de equilibrar a carga com muitos servidores. A verificação FCrDNS não precisa usar o mesmo nome de host que você está usando para acessar o servidor. Pode usar qualquer nome de host; geralmente um nome de host interno que não é necessariamente visto pelos usuários finais, a menos que eles tenham feito uma verificação de PTR. Tudo o que é necessário é que cada IP exclusivo visível para o mundo use algo para um nome de host exclusivo que volte a esse IP.
thomasrutter
1
Por exemplo, eu apenas procurei no google.com e o IP obtido foi 216.58.220.110. O registro reverso para isso é syd10s01-in-f14.1e100.net. Procurei isso e obtive o mesmo IP: 216.58.220.110. Para que o servidor do Google passe na verificação do FCrDNS, mesmo que o nome usado para esse fim, syd10s01-in-f14.1e100.net, não tenha nada a ver com o nome pelo qual acesso o servidor (que é google.com) ou pelos nomes usados para coisas como SSL.
thomasrutter
4

Contanto que você mantenha seu registro A apontando para um endereço IP específico (sem rodízio), isso não deve causar problemas.

Obviamente, a melhor prática é sempre ter 1 <-> 1 resolução para fechar o círculo .

Há uma explicação completa em digitalpoint.com . O ponto é que é o objetivo do projeto RFC, mas a abordagem prática é - às vezes você nem sequer tem acesso a algumas entradas reversas (por exemplo, o antigo ISP possui registros obsoletos) e não deve ser um problema (supondo que você use apenas 1 endereço "ativo").

Então, em resumo:

  • Se você deseja que sua entrada reversa de DNS "espere" quando você migra - parece absolutamente OK.
  • Se você estiver usando os dois servidores ao mesmo tempo para produção - não tenho certeza. Teoricamente, é uma prática ruim (consulte a RFC 1912 ), mas acho que nada além de correio reclamaria disso.
Karol J. Piczak
fonte