Capita spesso di voler creare dei nomi della LAN interna con il FQDN di un nome a dominio pubblico o di voler sovrascrivere alcuni host con IP pubblico con gli stessi nomi, ma con IP interno.
La soluzione più comune è creare una zona con lo stesso nome della zona esterna con gli stessi contenuti, a meno di quelli che devono essere differenti.
Prendiamo come esempio il nome a dominio ACME.COM e consideriamo questa zona esterna (semplifico la struttura e uso la direttiva $ORIGIN per indicare il nome della zona)
$ORIGIN acme.com
@ A 1.2.3.4
www A 1.2.3.4
crm A 9.8.7.6
mail A 5.6.7.8
@ MX 10 mail.acme.com.Ipotizziamo che il CRM sia presso la sede con un’interfaccia interna 172.16.19.99 e il mail server sia anche lui in casa con un’interfaccia interna 172.16.17.1. La zona interna di ACME.COM definita sul DNS server aziendale sarà quindi
$ORIGIN acme.com
@ A 1.2.3.4
www A 1.2.3.4
crm A 172.16.19.99
mail A 172.16.17.1
@ MX 10 mail.acme.com.In una struttura piccola con DNS semplici e modifiche contenute non c’è nessun problema ad avere una configurazione simile, in quanto i cambiamenti sono rari e comunque controllati da una o poche persone.
Se la struttura è più complessa, molte persone sono in qualche modo coinvolte nella gestione della zona oppure due gruppi diversi gestiscono il DNS publico e quello interno, le cose si complicano e mantenere le due zone in sincrono non è facile e può portare disservizi.
Ecco che ci viene in aiuto una caratteristica del DNS: un IP assegnato al record @ di un terzo livello PIPPO.ACME.COM è identico ad un record A del host PIPPO del secondo livello ACME.COM
In altre parole, se vogliamo sovrascrivere un host ci basta creare una zona di terzo livello pari al FQDN del host e assegnare l’IP al default.
Vediamo come mettere in pratica tutto ciò nel nostro esempio.
Creiamo due zone nel server DNS interno al posto della copia del secondo livello:
$ORIGIN crm.acme.com
@ A 172.16.19.99$ORIGIN mail.acme.com
@ A 172.16.17.1In questo modo, gli host interni che usano il server DNS interno quando chiederanno la risoluzione di www.acme.com otterranno l’IP della zona esposta a Internet, mentre quando chiederanno l’IP del CRM o della mail, il server interno, sapendo di essere autoritario su crm.acme.com, fornirà l’IP assegnato al record A del default della zona CRM.ACME.COM
Ovviamente, a parte la riscrittura di un host, un sistema simile è utile per pubblicare un host solamente all’interno.
Sempre considerando il caso sopra, ipotizziamo che mail e CRM condividano uno stesso certificato wildcard *.acme.com (ma il sito web pubblico non ha quel certificato wildcard, vero?!)
Se si volesse creare una Intranet aziendale in https con il medesimo certificato senza pubblicare su Internet il suo IP interno basterebbe creare una zona così
$ORIGIN intranet.acme.com
@ A 172.16.0.5A quel punto il server http potrebbe utilizzare sul server virtuale intranet.acme.com lo stesso certificato SSL del mail server e del CRM.
Se si implementa questa soluzione con il DNS di Windows Server integrato in Active Directory, si può creare una zona primaria replicata su tutto il dominio, avendo solo l’accortezza di disabilitare gli aggiornamenti automatici degli host, in quanto non si utlizza quella funzione.
Lascia un commento