我最近发现了一个 BIND 区域文件,它仅使用A具有每个 IP 的完全限定域名的地址记录。
示例片段:
subdomain1.example.com. IN A 192.168.1.10
subdomain2.example.com. IN A 192.168.1.10
subdomain3.example.com. IN A 192.168.1.10
还有多个完全限定名称解析到相同的 IP 地址。
这个配置有问题吗?(例如不使用 CNAME 或 ALIAS?)
这可以做到吗或者会引起问题吗?
由于我不是专家,我认为一些问题包括:
- 反向查找。(第一个响应被认为是正确的?)
- 证书(如果不是第一个响应那么证书错误?)
答案1
那只是一个前锋区域,@bodgit 回答这对于所有用例来说都是完全有效的。
上述方法的主要潜在缺点是管理方面。对于单个区域来说,这不是什么大问题,但对于许多不同域中的许多主机名来说,问题就大得多了:如果 IP 地址发生变化,则需要A更新具有该 IP 地址的每个记录,而 CNAME记录将自动跟随其目标 FQDN 的 IP 地址变化,因此无需更新。
对于反向区域,据我所知,执行几乎类似的操作在技术上也是有效的:
10.1.168.192.in-addr.arpa. IN PTR subdomain1.example.com.
10.1.168.192.in-addr.arpa. IN PTR subdomain2.example.com.
10.1.168.192.in-addr.arpa. IN PTR subdomain3.example.com.
但这不会产生人们通常期望的效果。
subdomain1.example.com. 将始终指向 192.168.1.10,但反向查找将大多数时候不指向 subdomain1.example.com。
以上内容将变为轮询 DNS记录位置:
- 1/3 的回复将返回“不正确”subdomain2.example.com 的响应。
- 1/3 的回复也会返回 “不正确”subdomain3.example.com 的响应。
- 只有 33% 的可能性“正确的”将会看到 subdomain1.example.com 的响应。
答案2
有多个 A 记录指向同一个 IP 是完全有效的。反向查找与此无关;因为 a) 位于单独的区域中,并且 b) 将使用 PTR 记录。证书在这里也不相关。