Секреты древних традиций: виды массажей, которые изменят вашу жизнь 
Чучудь 
Бозжира 
7 ноября. 
Песни про волшебное 
Недолго музыка играла? 
Из гопников в губернаторы? 
7 оригинальных блендов Nespresso, которые я купила в 2025 году 
Поздравление с "7 ноября" равнозначно поздравлению с "22 июня"
22.05.2025 —
Мифы
Мифы #2
klink0v — 25.05.2025
В этот раз всего один миф "вдогонку". Забыл про него упомянуть в предыдущей серии.
Миф 6. DNS-домены для внутреннего использования нужно называть ".local" либо каким-нибудь несуществующим именем наподобие ".kom" или ".lan".
Когда-то очень давно, помнится, я даже встречал подобные рекомендации в каких-то серьезных книжках по администрированию Windows NT 4. Так что вполне возможно, что в те незапамятные времена подобные рекомендации были актуальны. Сейчас же такое скорее вредно, чем полезно по трём причинам.
- Появляются новые TLD со скоростью грибов после дождя. И никогда
не угадаешь какой из них будет следующим. Вполне возможно, что в
ближайшем будущем IANA / ICANN / IETF "угадает" и зарегистрирует
именно тот домен, который вы выбрали в качестве
"несуществующего".
- И это было бы ещё полбеды, но на этом "вновь придуманном
настоящем" TLD могут внезапно принудительно включить HSTS через
Preload Lists. И тогда вы в локальной сети уже не сможете поднять
web-сервис на "голом" HTTP без шифрования. Лично знаю товарищей,
которые именно так "залетели" с доменом ".office".
- Домен ".local" в какой-то момент отдали целиком под службу
mDNS. Поэтому если вы его заиспользовали в корпоративной сети, то
вы либо сломаете mDNS (который бывает полезен для работы сетевых
принтеров), либо поимеете кучу проблем с подключающимися к вам
корпоративными VPN-клиентами. Например, те же огрызки не хотят ресолвить ".local" если он в явном виде не
прилетает им в качестве primary-домена по DHCP. У systemd-resolved
тоже есть кой-какие приколы, с этим же связанные.
И ведь что интересно, вера в этот миф не является уделом дедов старой школы навроде меня. Среди заказчиков моей лавки есть пара контор, созданных не далее как в этом / прошлом году. И они при разворачивании внутреннего AD-домена обозвали его "блабла.local". А эта AD такая штука, что её проще полностью грохнуть и развернуть заново, чем менять название домена. Я их предупредил, конечно. Но вряд ли они меня послушают.
Как правильно.
Есть четыре варианта.
- Для домашнего применения выбрать домен "home.arpa". Он официально зарезервирован и описан в RFC8375 как private-use.
- Взять домен ".internal". Он ещё не оформлен в виде RFC, но уже зарезервирован в ICANN и присутствует в черновиках IETF. Так что скорее всего с ним всё будет в порядке.
- Взять реальный домен своей конторы и приделать к нему следующий по счёту уровень а-ля "int.supercompany.com", который и использовать чисто во внутренних целях.
- Зарегистрировать самый дешевый "технический" домен а-ля "slon.ovh" или "lavka.tech", который не будет пересекаться со "внешними" доменами корпорации. Единственное, надо сразу смотреть чтобы его не внесли в HSTS Preload List. А то можно тоже ненароком "влететь" когда внезапно захочется поднять какую-нибудь wiki в локальной сети.
Сохранено
|
|
</> |
Оставить комментарий
Популярные посты:
royal_news">
Предыдущие записи блогера :
22.05.2025 —
Juniperобсирание, серия 22
Архив записей в блогах:
Вероятностно подходить ко всему рационально.Может, так, а, может, эдак.Вероятность события - 90%, но, может, случиться то, вероятность чего, очень мала.Спроси лучших экспертов в январе 1917-го, что ждать в начале марта, вряд ли бы кто предсказал ...
Ну, раз все в порядке, то продолжу показывать картинки. :) Как занять все семейство одной лазерной указкой Ну.. вырастет - поумнеет :) Надпись на картинке: моя ...
друзья с праздничкомзавтро собираюс на барбекю - накидайте, будьте душками, своих ПРОВЕРЕННЫХ рецептов маринадапланирую свинячью шею, свинячьи же ребра и чонить из куриных запчястей типа ...
Нашла у drevo_z старый пост с кучей комментариев о том, кто в каких киноактеров влюблялся. Подумала: нет, у меня ничего такого не было. А потом вспомнила: конечно же, было! До замирания сердца, однозначно: Антон Табаков - Тимур; Абдулов в "Обыкновенном чуде"; Костолевский в "Зако ...
Итак, авиапассажиры России 6 января уже получили первую обратку после волгоградских терактов, но это ещё не всё. Скрипучая машина государства медленно проворачивается после затишья в новогодние каникулы и обещает новые ужесточения в области пассивной безопасности. 1. Борьба с ...
