Split brain DNS – La delega!

Vediamo come la delega nel DNS server di Microsoft ci consente di perfezionare una delle problematiche introdotte dallo spit brain DNS.

Situazione

Seppure Microsoft fornisce come best practice, la creazione di un dominio active directory che abbia un TLD diverso da quelli acquistabili da NIC, può capitare di trovarsi di fronte a domini active directory identici al dominio pubblico dell’organizzazione (in gergo tecnico: spit brain DNS).

[box type=”info” style=”rounded”] Il mio consiglio è sempre quello di creare un dominio active directory come ad esempio miaditta.intra, miaditta.intranet, miaditta.lan, miaditta.local, cioè composta da due livelli, miaditta e TLD, meglio ancora se riuscite a restare entro i 15 caratteri per la prima parte del nome dominio, così da utilizzare un nome NETBIOS identico alla prima parte del dominio DNS.
[/box]

Nel malaugurato caso in cui avete un dominio pubblico identico al dominio active directory vi scontrerete sicuramente con dei problemini di raggiungibilità del vostro sito web all’interno dell’organizzazione o con dei problemi di posta.
Questo accade perchè nel DNS server interno, ogni pc/server/dispositivo viene registrato nella zona miaditta.it, ad esempio avremo pc01.miaditta.it, server.miaditta.it ecc…
Quando cerchiamo di navigare su www.miaditta.it, il server DNS cerca un dispositivo locale che si chiami www, fallendo.
La via più indolore è quella di creare un record A che si chiami www e che punti all’IP del vostro sito web, ma c’è un problema.
Il problema è che tutto funziona e funzionerà fino al giorno in cui il vostro sito verrà spostato, migrato, cambiato, si perchè quel giorno è molto probabile che vi dimenticherete o che non verrete avvisati di cambiare il record www nei server DNS locali e in ditta, i colleghi vedranno il vecchio sito.
Per ovviare a tutto ciò possiamo creare una DELEGA, che in poche parole, per la risoluzione di un preciso hostname, delega la richiesta ad altri server DNS, proprio quello di cui abbiamo bisogno.
Supponendo che il nostro sito web sia in hosting ad esempio su Aruba, possiamo delegare la risoluzione di www.miaditta.it ai name server di Aruba ottenendo per www.miaditta.it una risoluzione sempre aggiornata.
Ecco gli step per la creazione di una delega:

  • Digitare un DOS il comando nslookup -type=NS miaditta.it 8.8.8.8 per scoprire i name server del provider
  • Creare la delega facendo tasto destro sulla zona di risoluzione diretta miaditta.it > nuova delega
  • Specificare il nome del record da delegare (nel nostro esempio WWW)
  • Specificare i name server estratti nel primo passaggio (uno per volta altrimenti non funziona)

Ora possiamo verificare il corretto funzionamento sempre digitando in DOS l comando nslookup -type=A www.miaditta.it.

Rispondi

Leggi articolo precedente:
Split brain DNS

Abbiamo bisogno di implementare uno slit brain DNS ogni volta che abbiamo un servizio interno alla nostra azienda e vogliamo...

Chiudi