सवाल निजी नेटवर्क के लिए शीर्ष स्तर डोमेन / डोमेन प्रत्यय?


हमारे कार्यालय में, हमारे पास एक स्थानीय क्षेत्र नेटवर्क है जिसमें पूरी तरह से आंतरिक DNS सेटअप है, जिस पर सभी क्लाइंट नामित हैं whatever.lan। मेरे पास एक वीएमवेयर वातावरण भी है, और वर्चुअल-मशीन-केवल नेटवर्क पर, मैं वर्चुअल मशीनों का नाम देता हूं whatever.vm

वर्तमान में, वर्चुअल मशीनों के लिए यह नेटवर्क हमारे स्थानीय क्षेत्र नेटवर्क से पहुंच योग्य नहीं है, लेकिन हम इन आभासी मशीनों को माइग्रेट करने के लिए एक उत्पादन नेटवर्क स्थापित कर रहे हैं, जो कि मर्जी लैन से पहुंचने योग्य हो। नतीजतन, हम डोमेन प्रत्यय / टीएलडी के लिए एक सम्मेलन पर बसने की कोशिश कर रहे हैं, हम इस नए नेटवर्क पर मेहमानों के लिए आवेदन करते हैं, लेकिन हम एक अच्छे के साथ नहीं आ सकते हैं, .vm, .local तथा .lan हमारे पर्यावरण में सभी मौजूदा अर्थ हैं।

तो, इस स्थिति में सबसे अच्छा अभ्यास क्या है? क्या टीएलडी या डोमेन नामों की एक सूची है जो पूरी तरह से आंतरिक नेटवर्क के लिए उपयोग करने के लिए सुरक्षित है?


103
2018-06-01 21:47


मूल


उपयोग न करें। लोकल। विशेष रूप से यदि आपके पास कोई ऐप्पल क्लाइंट है। - RainyRat
इस कारण से सबसे अच्छा सेट किया गया है: secure.wikimedia.org/wikipedia/en/wiki/.test - CWSpear
@CWSpear यह वास्तविक नहीं है कारण  .test आरक्षित है, हालांकि यह इसे उपयोग करने के लिए एक सुरक्षित डोमेन बनाता है परीक्षा नेटवर्क जो इंटरनेट से कनेक्ट नहीं होंगे। - voretaq7
@ ओटो सर्वोत्तम प्रथाओं से यह निर्देश मिलेगा कि आप "असली" डोमेन नाम (एक आईसीएएनएन-मान्यता प्राप्त टीएलडी के तहत) प्राप्त करते हैं और इसके स्थानीय सामान के लिए इसका सबडोमेन बनाते हैं (उदा। mydomain.com, प्रतिनिधि internal.mydomain.com एक आंतरिक एनएस के लिए, और विभाजित क्षितिज DNS (BIND में "विचार") को ठीक से कॉन्फ़िगर करें ताकि आप इंटरनेट पर आंतरिक नाम / पते को रिसाव न करें। यह एक टीएलडी / छद्म-टीएलडी के रूप में सुंदर नहीं है, लेकिन यह आपके नियंत्रण में है क्योंकि यह टूटने के लिए कम प्रवण है। - voretaq7
हालाँकि: वास्तविक डोमेन नाम का उपयोग न करें जिसे आपने सार्वजनिक रूप से सामना करने वाली उत्पादन सेवाओं के लिए पहले ही उपयोग किया है। विभिन्न इंटरैक्शन हैं जिनके बीच अनुमति है www.example.com तथा *.internal.example.com जिनके बीच अनुमति नहीं है www.example.com तथा *.example.net, सबसे विशेष रूप से क्रॉस-साइट कुकी सेटिंग। एक ही डोमेन पर आंतरिक और बाहरी सेवाओं को चलाने से जोखिम बढ़ जाता है कि सार्वजनिक सेवा का समझौता आंतरिक सेवाओं में कुछ प्रवेश करेगा, और इसके विपरीत एक असुरक्षित आंतरिक सेवा बाहरी सेवा के आंतरिक दुरुपयोग को उकसा सकती है। - bobince


जवाब:


एक आविष्कार टीएलडी का प्रयोग न करें। यदि आईसीएएनएन इसे प्रतिनिधि देना था, तो आप बड़ी परेशानी में होंगे। वही बात अगर आप एक और संगठन के साथ विलय करते हैं जो एक ही डमी टीएलडी का उपयोग होता है। यही कारण है कि वैश्विक स्तर पर अद्वितीय डोमेन नामों को प्राथमिकता दी जाती है।

मानक, आरएफसी 2606 उदाहरणों, दस्तावेज़ीकरण, परीक्षण के लिए नाम सुरक्षित रखते हैं, लेकिन सामान्य उपयोग के लिए कुछ भी नहीं, और अच्छे कारणों से: आज, वास्तविक और अद्वितीय डोमेन नाम प्राप्त करना इतना आसान और सस्ता है कि डमी का उपयोग करने का कोई अच्छा कारण नहीं है।

तो, खरीदो iamthebest.org और अपने उपकरणों का नाम देने के लिए इसका इस्तेमाल करें।


85
2018-06-02 07:39



पूरी तरह से सुरक्षित होने के लिए, मैं अपनी कंपनी के डोमेन नाम के सबडोमेन पर सबकुछ डालूंगा, जैसे local.company.org, vm.company.org, और इसी तरह। - drybjed
इसे +1 करें। संभवतः आपकी कंपनी के पास पहले से ही एक डोमेन है। बस इससे उप-डोमेन बनाएं। यह आपके LAN के बाहर दृश्यमान / हल करने योग्य नहीं होना चाहिए। - Dan Carley
खैर, यहां तक ​​कि बहुत अच्छे वकीलों के साथ, आपको ट्रेडमार्क का आह्वान करके ".lan" या ".local" का दावा करने में परेशानी होगी। और तर्क "यह केवल आंतरिक है" बेहद कमजोर है: संगठन विलय करते हैं, पार्टनर संगठनों के साथ आभासी निजी नेटवर्क स्थापित करते हैं और केवल "निजी" नाम रिसाव करते हैं। - bortzmeyer
इसके साथ मेरा एकमात्र गोमांस यह है कि आप वास्तव में एक डोमेन "खरीद नहीं सकते": आप केवल एक किराए पर ले सकते हैं। कुछ बोझो बिल का भुगतान करना भूल जाते हैं (और यह कुछ उच्च प्रोफ़ाइल मामलों में हुआ है) और आपकी कॉन्फ़िगरेशन का मुख्य भाग कुछ यादृच्छिक चक्कर में जाता है। तो आप अपनी कंपनी के डोमेन का उपयोग करते हैं? निष्कर्ष निकालने या खरीदने के लिए निर्णय लेते हैं, और आप पुराने नाम से फंस गए हैं। .local काफी अच्छी तरह से काम करने के लिए प्रयोग किया जाता है, लेकिन अब यह एक निश्चित कंपनी द्वारा इस तरह से छूट दी गई है कि अच्छा खेलना नकारें। मुझे वास्तव में ऐसा लगता है कि इस उद्देश्य के लिए औपचारिक रूप से आरक्षित .lan या। आंतरिक रूप से आरक्षित है, लेकिन तब तक यह सबसे अच्छा विकल्प है। - Joel Coel
@ जोएल कोयल से सहमत हैं, आप एक किरायेदार हैं, और कुछ भी नहीं। दो आरक्षित टीएलडी नाम होना चाहिए आंतरिक उपयोग के लिए ही जिसे सार्वजनिक रूप से अमान्य माना जाना चाहिए और सार्वजनिक नेटवर्क द्वारा पहुंच योग्य नहीं होना चाहिए। एक नाम आंतरिक घर के उपयोग के लिए होगा, दूसरा नाम आंतरिक व्यापार के उपयोग के लिए होगा। दोनों को एक ही अर्थ में "निजी टीएलडी" माना जाएगा कि हमारे पास "निजी सबनेट" हैं जो गैर-रूटेबल (1 9 2.168.एक्स.एक्स और इल्क) हैं। यह घर उपयोगकर्ताओं को कुछ और करने के लिए अनुमति देता है इसके अलावा .local और mDNS में मजबूर होना। बिना किसी डोमेन के एनएटी के पीछे एक आंतरिक लैन चलाने वाले छोटे व्यवसायों के लिए डितो। - Avery Payne


आंतरिक मशीनों के लिए अपनी कंपनी के पंजीकृत डोमेन का सबडोमेन का उपयोग करें जिनके नाम आप इंटरनेट पर उपलब्ध नहीं करना चाहते हैं। (फिर, ज़ाहिर है, केवल उन नामों को अपने आंतरिक DNS सर्वर पर होस्ट करें।) यहां कल्पित उदाहरण निगम के लिए कुछ उदाहरण दिए गए हैं।

इंटरनेट-फेस सर्वर:
www.example.com
mail.example.com
dns1.example.com

आंतरिक मशीनें:
dc1.corp.example.com
dns1.corp.example.com
client1.corp.example.com

मैंने यह संकेत देने के लिए "कॉर्प" का उपयोग किया कि इस सबडोमेन ने आंतरिक कॉर्पोरेट नेटवर्क पर मशीनों का वर्णन किया है, लेकिन आप यहां कुछ भी इस्तेमाल कर सकते हैं, जैसे "आंतरिक": client1.internal.example.com।

यह भी याद रखें कि DNS ज़ोन और सबडोमेन को आपके नेटवर्क नंबरिंग योजना के साथ संरेखित करने की आवश्यकता नहीं है। उदाहरण के लिए, मेरी कंपनी में 37 स्थान हैं, प्रत्येक के अपने सबनेट के साथ, लेकिन सभी स्थान समान (आंतरिक) डोमेन नाम का उपयोग करते हैं। इसके विपरीत, आपके पास केवल एक या कुछ सबनेट हो सकते हैं, लेकिन कई मशीनों के आंतरिक डोमेन या उप डोमेन के स्तर आपको अपनी मशीनों को व्यवस्थित करने में मदद करते हैं।


46
2018-06-02 13:03





एक आंतरिक सबडोमेन का उपयोग करने का एक और फायदा है: खोज प्रत्यय का उपयोग करके चालाकी से और FQDN के बजाय केवल होस्टनाम, आप कॉन्फ़िगरेशन फ़ाइलों का निर्माण कर सकते हैं जो विकास, क्यूए और उत्पादन दोनों में काम करते हैं।

उदाहरण के लिए, आप हमेशा अपनी कॉन्फ़िगरेशन फ़ाइल में "डेटाबेस = dbserv1" का उपयोग करते हैं।

विकास सर्वर पर, आपने खोज प्रत्यय को "dev.example.com" पर सेट किया है => डेटाबेस सर्वर का इस्तेमाल किया: dbserv1.dev.example.com

क्यूए सर्वर पर, आप खोज प्रत्यय को "qa.example.com" पर सेट करते हैं => डेटाबेस सर्वर का इस्तेमाल किया: dbserv1.qa.example.com

और उत्पादन सर्वर पर, आपने खोज प्रत्यय को "example.com" पर सेट किया है => डेटाबेस सर्वर का इस्तेमाल किया: dbserv1.example.com

इस तरह, आप हर पर्यावरण में एक ही सेटिंग्स का उपयोग कर सकते हैं।


29
2018-06-04 12:00



वह शानदार है। - Chris Magnuson
जब तक कोई व्यक्ति किसी समस्या का परीक्षण करने के लिए उत्पादन खोज प्रत्यय के साथ अपने वर्कस्टेशन को गलत तरीके से कॉन्फ़िगर नहीं करता है, और बाद में अनजाने में उत्पादन रिकॉर्ड का एक समूह अद्यतन करता है। - Joel Coel
यह बहुत कच्चा है, एसआरवी रिकॉर्ड पार्स के लिए बहुत आसान हैं और किसी भी क्षेत्र में रखा जा सकता है, जैसे कि एक ही डीबी सर्वर कई जोनों की सेवा करता है। इस मामले में कोड का कुछ बिट आपकी कॉन्फ़िगरेशन फ़ाइलों के भीतर मान में भर जाएगा। और आप डेटाबेस के नाम को एसआरवी कुंजी और मेजबाननाम को इंगित करने वाले पाठ्यक्रम के मूल्य के रूप में उपयोग कर सकते हैं। मैं कभी भी खोज प्रत्यय पर भरोसा नहीं करता। आप TXT रिकॉर्ड्स के साथ काफी रचनात्मक भी हो सकते हैं, और अगर वे रहस्य हैं, तो उन्हें एईएस -256 एन्क्रिप्टेड (फिर बेस 64 एन्कोडेड) मानों के साथ सामान बना सकते हैं। आप सभी प्रकार की चीजों के लिए TXT रिकॉर्ड का उपयोग कर सकते हैं। - figtrap
देखें, लेकिन मैं जो चाहता हूं example.com, example.dev, और example.stg है। अंतिम 2 केवल एक निजी नेटवर्क पर हैं, क्या मैं शून्य कॉन्फ़िगरेशन एक्सेस के लिए स्थानीय DNS सर्वर सेट कर सकता हूं? अभी भी सभी साइटों के लिए एक समान कॉन्फ़िगरेशन का उपयोग करके, बस tld तक परिवर्तनों को ले जा रहे हैं। मेजबान फ़ाइल के साथ .dev के लिए आसान है, लेकिन शून्य कॉन्फ़िगरेशन ... - DigitalDesignDj


जैसा कि पहले से ही कहा गया है, आपको अपने निजी नेटवर्क के लिए एक अनियंत्रित टीएलडी का उपयोग नहीं करना चाहिए। विशेष रूप से अब आईसीएएनएन लगभग किसी को भी नए टीएलडी पंजीकृत करने की इजाजत देता है। फिर आपको वास्तविक डोमेन नाम का उपयोग करना चाहिए

दूसरी तरफ, आरएफसी 1 9 18 साफ है:

ऐसे पते पर अप्रत्यक्ष संदर्भ   के भीतर निहित होना चाहिए   उद्यम। इस तरह के प्रमुख उदाहरण   संदर्भ DNS संसाधन रिकॉर्ड्स हैं   और अन्य जानकारी का जिक्र है   आंतरिक निजी पते।   तो आपके नाम सर्वर को निजी रिकॉर्ड को इंटरनेट पर प्रसारित करने से रोकने के लिए विचारों का भी उपयोग करना चाहिए।


10
2018-06-02 12:41





हम शारीरिक रूप से मेजबानों के आभासी नामकरण में कोई फर्क नहीं पड़ता - वास्तव में, हमने भौतिक परत से होस्ट कॉन्फ़िगरेशन (सॉफ़्टवेयर) को सारणीबद्ध करने के लिए लिया है।

इसलिए हम हार्डवेयर आइटम खरीदते हैं, और उनके ऊपर होस्ट आइटम बनाते हैं (और हमारे दस्तावेज़ में दिखाने के लिए एक साधारण रिश्ते का उपयोग करें)।

इसका उद्देश्य यह है कि जब कोई होस्ट मौजूद होता है, तो DNS निर्धारित निर्धारण कारक नहीं होना चाहिए - क्योंकि हमारे पास मशीनें एक स्थान से दूसरे स्थान पर जाती हैं - उदाहरण के लिए कम प्रदर्शन करने वाले वेबपैप को महंगे CPU चक्रों का उपभोग करने की आवश्यकता नहीं होती है - इसे वर्चुअलाइज़ करें , और यह अपनी नामकरण योजना को बरकरार रखता है, सब कुछ काम जारी है।


8
2018-06-01 21:52





मुझे यकीन नहीं है कि यह आपकी मदद करेगा, लेकिन मेरे एडब्ल्यूएस खाते के अंदर आंतरिक DNS के लिए, मैं उपयोग करता हूं .aws tld के रूप में, और यह पूरी तरह से ठीक काम करता प्रतीत होता है।

मुझे पता है कि कुछ टीएलडी हैं जिन्हें आप उपयोग नहीं कर सकते हैं, लेकिन उन लोगों के अलावा, मुझे नहीं लगता कि यह बहुत सख्त है।

मैंने कुछ बड़ी कंपनियों में काम किया, जहां वे प्रमाणीकरण स्रोत का उपयोग टीएलडी के रूप में करेंगे, जिसका अर्थ है कि यह एक एमएस / विंडोज सर्वर था, सक्रिय निर्देशिका का उपयोग स्रोत स्रोत के रूप में करते हुए, यह होगा .ad, और कुछ अन्य होंगे .ldap (वे एक ही स्रोत का उपयोग क्यों नहीं कर रहे थे? या एक ही निर्देशिका सेवा से प्रतिलिपि बनाने वाले सर्वर? मुझे नहीं पता, यह तब था जब मैं वहां गया था)

सौभाग्य


-4
2018-02-29 14:28



अमेज़ॅन अब पंजीकृत है .aws एक टीएलडी के रूप में आप अंततः समस्याओं को देखना शुरू कर सकते हैं: nic.aws - Mark McKinstry
जानकारी के लिए, हाल ही में "25 मार्च 2016" => पंजीकृत है newgtlds.icann.org/en/program-status/delegated-strings - Bruno Adelé
जबकि मुझे लगता है कि एक फोनी टीएलडी का उपयोग करना एक सौदा का बड़ा हिस्सा है, कम से कम नहीं, अगर पूरी प्रणाली बंद हो जाती है और इंटरनेट पर संवाद करने के लिए प्रॉक्सी का उपयोग करती है, तो ".aws" वास्तव में खराब विकल्प है जब तक कि आप एडब्ल्यूएस में नहीं है! ऐसे कई कल्पनीय परिदृश्य हैं जहां आप अब एडब्ल्यूएस के साथ संवाद करने में सक्षम नहीं होंगे। - figtrap