개인 네트워크의 최상위 도메인 / 도메인 접미사?


115

사무실에는 순수한 내부 DNS 설정을 가진 LAN이 있으며 클라이언트는 모두로 이름이 지정됩니다 whatever.lan. 또한 VMware 환경이 있으며 가상 머신 전용 네트워크에서 가상 머신의 이름을 지정합니다 whatever.vm.

현재, 가상 머신이 네트워크는 우리의 로컬 영역 네트워크에서 도달 할 수없는, 그러나 우리는, 이러한 가상 컴퓨터를 마이그레이션 할 수있는 생산 네트워크를 설정하는 랜에서 도달 할 수 있습니다. 그 결과, 우리는 우리가 우리가 설정하는 새로운 네트워크의 손님에 적용되는 도메인 접미사 / TLD에 대한 규칙에 정착하기 위해 노력하고 있지만, 우리는 좋은 하나 가지고 올 수없는, 주어진 .vm, .local그리고 .lan우리 환경에는 모두 기존의 의미가 있습니다.

그렇다면이 상황에서 가장 좋은 방법은 무엇입니까? 순전히 내부 네트워크에 사용하기에 안전한 TLD 또는 도메인 이름 목록이 있습니까?


2
.local을 사용하지 마십시오. 특히 애플 클라이언트가 있다면.
RainyRat

2
.test는 다음과 같은 이유로 제쳐두고 있습니다 : secure.wikimedia.org/wikipedia/en/wiki/.test
CWSpear

1
@CWSpear 실제 이유 .test 는 아니지만 인터넷에 연결되지 않는 테스트 네트워크 에 사용하기에 안전한 도메인 입니다.
voretaq7

10
@Otto 모범 사례는 "실제"도메인 이름 (ICANN 인식 TLD 하에서)을 획득하고 로컬 항목에 대한 하위 도메인 (예 : register mydomain.com, internal.mydomain.com내부 NS에 위임 및 split horizon DNS ( 내부 이름 / 주소를 인터넷에 유출하지 않습니다. TLD / 의사
-TLD만큼 귀엽지는 않지만

9
그러나 : 공개 제작 서비스에 이미 사용한 실제 도메인 이름은 사용하지 마십시오. 사이에 허용되는 다양한 상호 작용이 있습니다 www.example.com그리고 *.internal.example.com그 사이에 허용되지 않습니다 www.example.com하고 *.example.net, 특히 크로스 사이트 쿠키 설정. 동일한 도메인에서 내부 및 외부 서비스를 실행하면 공공 서비스의 손상으로 인해 내부 서비스에 약간의 침입이 발생할 위험이 있으며, 반대로 불안정한 내부 서비스가 외부 서비스의 내부 오용을 유발할 수 있습니다.
bobince

답변:


94

발명 된 TLD를 사용하지 마십시오. ICANN이이를 위임하면 큰 어려움에 처하게됩니다. 동일한 더미 TLD를 사용하는 다른 조직과 병합하는 경우에도 마찬가지입니다. 이것이 전 세계적으로 고유 한 도메인 이름이 선호되는 이유입니다.

표준 RFC 2606 은 예제, 문서, 테스트에 대한 이름을 보유하지만 일반적인 용도로는 사용할 수 없으며 좋은 이유가 있습니다. 오늘날 실제적이고 고유 한 도메인 이름을 얻는 것이 너무 쉽고 저렴하여 더미 하나.

따라서 장치를 구입 iamthebest.org하고 사용하여 장치 이름을 지정하십시오.


53
완전히 안전하기 위해 local.company.org, vm.company.org 등과 같이 회사 도메인 이름의 하위 도메인에 모든 것을 넣었습니다.
drybjed

4
이것을 +1하십시오. 아마도 귀사에는 이미 도메인이 있습니다. 이것으로 하위 도메인을 만드십시오. LAN 외부에서 보거나 확인할 수있는 것은 아닙니다.
Dan Carley

3
글쎄, 아주 훌륭한 변호사라도 상표를 불러서 ".lan"또는 ".local"을 주장하는 데 어려움을 겪을 것입니다. "내부 전용"이라는 주장은 매우 약합니다. 조직은 병합하고 파트너 조직과 가상 사설망을 설정하고 단순히 "개인"이름이 유출되는 실수를합니다.
bortzmeyer 2016 년

8
이것으로 내 유일한 쇠고기는 도메인을 실제로 "구매"할 수 없다는 것입니다. 일부 bozo는 청구서를 지불하는 것을 잊어 버렸습니다 (이것은 몇 가지 중요한 경우에 발생했습니다). 구성의 핵심 부분은 임의의 스쿼터로 진행됩니다. 회사 도메인을 사용하십니까? Execs는 브랜드를 변경하거나 매입하기로 결정했으며 이전 이름이 붙어 있습니다. .local은 충분히 잘 작동했지만 이제는 특정 회사에서 좋은 플레이를 거부하는 방식으로 선점되었습니다. 이 목적을 위해 .lan 또는 .internal 공식적으로 예약 된 것을보고 싶을 때까지는 이것이 최선의 선택입니다.
Joel Coel

6
@Joel Coel에 동의하십시오. 임차인은 더 이상 없습니다. 내부적으로 만 사용할 수 있는 공용 TLD 이름 은 공용으로 유효하지 않으며 공용 네트워크로는 접근 할 수없는 것으로 간주되어야합니다. 하나는 내부 가정용이며 다른 하나는 내부 업무용입니다. 라우팅 할 수없는 "프라이빗 서브넷"(192.168.xx 및 ilk)이있는 것과 같은 의미에서 둘 다 "프라이빗 TLD"로 간주됩니다. 이를 통해 가정 사용자는 .local 및 mDNS로 강제되는 것 외에 다른 작업을 수행 할 수 있습니다. 도메인이없는 NAT 뒤에서 내부 LAN을 실행하는 소규모 기업에 적합합니다.
Avery Payne

49

인터넷에서 사용할 수없는 이름을 가진 내부 시스템에 회사 등록 도메인의 하위 도메인을 사용하십시오. (물론 내부 DNS 서버에서 해당 이름 만 호스팅합니다.) 가상의 Example Corporation에 대한 몇 가지 예는 다음과 같습니다.

인터넷 서버 :
www.example.com
mail.example.com
dns1.example.com

내부 머신 :
dc1.corp.example.com
dns1.corp.example.com
client1.corp.example.com

"corp"를 사용하여이 하위 도메인이 내부 회사 네트워크의 시스템을 설명했음을 나타내지 만 "internal": client1.internal.example.com과 같이 여기에서 원하는 것을 사용할 수 있습니다.

또한 DNS 영역과 하위 도메인은 네트워크 번호 체계와 일치 할 필요가 없습니다. 예를 들어 우리 회사에는 각각 자체 서브넷이있는 37 개의 위치가 있지만 모든 위치는 동일한 (내부) 도메인 이름을 사용합니다. 반대로, 하나 또는 몇 개의 서브넷 만 가질 수 있지만 많은 피어 내부 도메인 또는 하위 도메인 수준을 사용하여 시스템을 구성 할 수 있습니다.


32

내부 하위 도메인을 사용하는 또 다른 이점이 있습니다. FQDN 대신 검색 접미사와 호스트 이름 만 사용하면 개발, QA 및 프로덕션 모두에서 작동하는 구성 파일을 작성할 수 있습니다.

예를 들어, 항상 구성 파일에서 "database = dbserv1"을 사용하십시오.

개발 서버에서 검색 접미 부를 "dev.example.com"=> 사용 된 데이터베이스 서버로 설정하십시오. dbserv1.dev.example.com

QA 서버에서 검색 접미 부를 "qa.example.com"=> 사용 된 데이터베이스 서버로 설정하십시오. dbserv1.qa.example.com

프로덕션 서버에서 검색 접미 부를 "example.com"=> 사용 된 데이터베이스 서버로 설정하십시오. dbserv1.example.com

이렇게하면 모든 환경에서 동일한 설정을 사용할 수 있습니다.


2
훌륭합니다.
Chris Magnuson

19
누군가가 문제를 테스트하기 위해 프로덕션 검색 접미사로 워크 스테이션을 잘못 구성 할 때까지 실수로 여러 프로덕션 레코드를 업데이트합니다.
Joel Coel

1
SRV 레코드는 구문 분석이 매우 간단하고 모든 영역 내에 배치 할 수 있으므로 동일한 DB 서버가 여러 영역에 서비스를 제공 할 수 있습니다. 이 경우 약간의 코드가 구성 파일의 값을 채우고 있습니다. 그리고 데이터베이스 이름을 SRV 키로 사용하고 물론 호스트 이름을 가리키는 값을 사용할 수 있습니다. 나는 검색 서 픽스에 의존하지 않을 것이다. TXT 레코드를 사용하여 창의력을 발휘할 수 있으며 비밀 인 경우 aes-256로 암호화 된 (base64로 인코딩 된) 값으로 채울 수 있습니다. 모든 종류의 작업에 TXT 레코드를 사용할 수 있습니다.
figtrap

그러나 내가 원하는 것은 example.com, example.dev 및 example.stg입니다. 마지막 2 개는 개인 네트워크에만 있으며 구성 액세스없이 로컬 DNS 서버를 설정할 수 있습니까? 모든 사이트에 대해 여전히 비슷한 구성을 사용하고 변경 사항을 tld로 이동하십시오. 호스트 파일에 .dev를위한 쉬운,하지만 제로 설정 ...
DigitalDesignDj

14

이 질문에 대한 이전 답변이 작성되었으므로 지침을 다소 변경하는 몇 가지 RFC가있었습니다. RFC 6761 은 개인 네트워크에 대한 특정 지침을 제공하지 않고 특수 용도 도메인 이름에 대해 설명합니다. RFC 6762는 여전히 등록되지 않은 TLD를 사용하지 말 것을 권장하지만 어쨌든 수행 될 경우도 있음을 인정합니다. 일반적으로 사용되는 .local 은 멀티 캐스트 DNS (RFC의 주요 주제)와 충돌 하므로 부록 G. 개인 DNS 네임 스페이스 는 다음 TLD를 권장합니다.

  • 인트라넷
  • 내부의
  • 사유의

IANA 는 두 RFC를 모두 인식 하지만 부록 G에 나열된 이름을 포함하지는 않습니다.

다시 말해서, 당신은 그것을해서는 안됩니다. 그러나 어쨌든 그렇게하기로 결정한 경우 위의 이름 중 하나를 사용하십시오.


부록 G에는 인용하기 전에 "등록되지 않은 최상위 도메인을 사용하지 않는 것이 좋습니다"라는 인용문이 있습니다. 이것이 더 핵심입니다. 주어진 이름은, 그들은 단지 이름보다 더 잘 작동 할 것이다 것을 알 관찰 사용하는 "추천"되지 .local부록 G.에서 논의되는, 어떤 종류의 MulticastDNS 예약되어
패트릭 Mevzek

2
동의하지 않습니다. 요점은 조언을 부적절하게 말하는 것입니다. '하지 마십시오 ... 그러나 할 때 ...'가정 / 소규모 / 비공개 네트워크가 TLD를 등록해야한다는 기대는 현실적이지 않습니다. 사람들 등록되지 않은 TLD를 훨씬 더 잘 사용하여 모든 사람들을 도와주고 'OK, 여기에는 내부적으로 사용할 수있는 등록되지 않은 TLD의 목록이 있습니다.
blihp

우리는 그때 의견 불일치 상태로 남아있을 것입니다. 일부 사람들이 내부에있는 것처럼 TLD를 사용했다는 사실 (예를 들어 .MAIL , 많은 문서에서 볼 수 있음)은 이러한 TLD가 위임 할 수 없었고 이제는 영원히 죽은 이유입니다. 따라서 사람들에게 이러한 방식으로 TLD를 사용하도록 계속 권장하는 것은 전 세계 인터넷 커뮤니티의 장애입니다. 조언에 따르면 일부 TLD는 이미 그렇게 남용되어 있으므로 사람들이 남용해야 할 경우 새로운 TLD를 남용하는 대신 재사용해야합니다. TLD를 내부적으로 사용하기 위해 RFC2606는 작동 할 수 분명하다 :.EXAMPLE .TEST .INVALID
패트릭 Mevzek

12

이미 언급했듯이 개인 네트워크에는 등록되지 않은 TLD를 사용하지 않아야합니다. 특히 ICANN은 거의 모든 사람이 새로운 TLD를 등록 할 수 있도록 허용합니다. 그런 다음 실제 도메인 이름을 사용해야합니다

반면 RFC 1918 은 다음과 같이 명확합니다.

이러한 주소에 대한 간접 참조는 엔터프라이즈 내에 포함되어야합니다. 이러한 참조의 대표적인 예로는 DNS 리소스 레코드 및 내부 개인 주소를 참조하는 기타 정보가 있습니다. 따라서 네임 서버는 개인 레코드가 인터넷에서 전송되지 않도록보기를 사용해야합니다.


10

우리는 호스트의 가상 이름 지정과 물리적 계층의 차이를 고려하지 않는 경향이 있습니다. 실제로 물리적 계층에서 호스트 구성 (소프트웨어)을 추상화하려고했습니다.

그래서 우리는 하드웨어 아이템을 구매하고 그 위에 호스트 아이템을 생성합니다 (그리고 우리의 문서에 간단한 관계를 보여줍니다).

목적은 호스트가 존재할 때 DNS가 결정 요소가되어서는 안된다는 것입니다. 예를 들어 머신이 한 공간에서 다음 공간으로 이동함에 따라 성능이 낮은 웹앱은 값 비싼 CPU 사이클을 소비 할 필요가 없습니다. 가상화 이름 지정 체계를 유지하며 모든 것이 계속 작동합니다.


-4

이것이 도움이 .aws될지는 모르겠지만 AWS 계정 내의 내부 DNS의 경우 tld로 사용 하며 완벽하게 작동하는 것 같습니다.

나는 사용하지 말아야 할 TLD가 있다는 것을 알고 있지만 그 외에는 너무 엄격하지 않다고 생각합니다.

인증 소스를 TLD로 사용하는 일부 대기업에서 근무했습니다. 인증 소스로 Active Directory를 사용하여 MS / Windows 서버 인 경우 인증 소스를 사용하고 .ad다른 일부는 그 .ldap이유는 무엇입니까? '동일한 소스를 사용하지 않습니까? 아니면 동일한 디렉토리 서비스에서 복제하는 서버를 알고 있습니까? 모르겠습니다.

행운을 빕니다


2
아마존은 이제 .awsTLD로 등록 되었으므로 결국 문제가 발생하기 시작할 수 있습니다. nic.aws
Mark McKinstry

1
자세한 내용은 .aws가 최근에 등록되었습니다 "2016 년 3 월 25 일"=> newgtlds.icann.org/en/program-status/delegated-strings
Bruno Adelé

나는 가짜 TLD를 사용하는 것이 그렇게 큰 일이라고 생각하지 않지만 적어도 전체 시스템이 닫히고 프록시를 사용하여 인터넷과 통신하는 경우가 아니라면 ".aws"는 정말로 나쁜 선택입니다. AWS에 없습니다! 더 이상 AWS와 통신 할 수없는 시나리오가 너무 많습니다.
figtrap
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.