Китайский контракт на строительство Панамского канала признан неконституционным 
Снежное 
29 января ● "День мобилизации против угрозы ядерной войны" и не только... 
За что студента могут отчислить из вуза (и когда стоит побороться за свои права) 
Маленькая Венеция — город Спина 
Мадуро, конечно, жалко 
По заветам Фердинанда Порше: тест гибридного Geely EX5 EM-i 
Динозавры возвращаются
22.05.2025 —
Мифы
Мифы #2
klink0v — 25.05.2025
В этот раз всего один миф "вдогонку". Забыл про него упомянуть в предыдущей серии.
Миф 6. DNS-домены для внутреннего использования нужно называть ".local" либо каким-нибудь несуществующим именем наподобие ".kom" или ".lan".
Когда-то очень давно, помнится, я даже встречал подобные рекомендации в каких-то серьезных книжках по администрированию Windows NT 4. Так что вполне возможно, что в те незапамятные времена подобные рекомендации были актуальны. Сейчас же такое скорее вредно, чем полезно по трём причинам.
- Появляются новые TLD со скоростью грибов после дождя. И никогда
не угадаешь какой из них будет следующим. Вполне возможно, что в
ближайшем будущем IANA / ICANN / IETF "угадает" и зарегистрирует
именно тот домен, который вы выбрали в качестве
"несуществующего".
- И это было бы ещё полбеды, но на этом "вновь придуманном
настоящем" TLD могут внезапно принудительно включить HSTS через
Preload Lists. И тогда вы в локальной сети уже не сможете поднять
web-сервис на "голом" HTTP без шифрования. Лично знаю товарищей,
которые именно так "залетели" с доменом ".office".
- Домен ".local" в какой-то момент отдали целиком под службу
mDNS. Поэтому если вы его заиспользовали в корпоративной сети, то
вы либо сломаете mDNS (который бывает полезен для работы сетевых
принтеров), либо поимеете кучу проблем с подключающимися к вам
корпоративными VPN-клиентами. Например, те же огрызки не хотят ресолвить ".local" если он в явном виде не
прилетает им в качестве primary-домена по DHCP. У systemd-resolved
тоже есть кой-какие приколы, с этим же связанные.
И ведь что интересно, вера в этот миф не является уделом дедов старой школы навроде меня. Среди заказчиков моей лавки есть пара контор, созданных не далее как в этом / прошлом году. И они при разворачивании внутреннего AD-домена обозвали его "блабла.local". А эта AD такая штука, что её проще полностью грохнуть и развернуть заново, чем менять название домена. Я их предупредил, конечно. Но вряд ли они меня послушают.
Как правильно.
Есть четыре варианта.
- Для домашнего применения выбрать домен "home.arpa". Он официально зарезервирован и описан в RFC8375 как private-use.
- Взять домен ".internal". Он ещё не оформлен в виде RFC, но уже зарезервирован в ICANN и присутствует в черновиках IETF. Так что скорее всего с ним всё будет в порядке.
- Взять реальный домен своей конторы и приделать к нему следующий по счёту уровень а-ля "int.supercompany.com", который и использовать чисто во внутренних целях.
- Зарегистрировать самый дешевый "технический" домен а-ля "slon.ovh" или "lavka.tech", который не будет пересекаться со "внешними" доменами корпорации. Единственное, надо сразу смотреть чтобы его не внесли в HSTS Preload List. А то можно тоже ненароком "влететь" когда внезапно захочется поднять какую-нибудь wiki в локальной сети.
Сохранено
|
|
</> |
Оставить комментарий
Популярные посты:
Предыдущие записи блогера :
22.05.2025 —
Juniperобсирание, серия 22
Архив записей в блогах:
Читаю сейчас Бенно Тешке "Миф о 1648 г.). Тяжелая книга, надо сказать. За последние годы четыре я изрядно поднаторел в изучении современной (лет эта за двадцать пять -тридцать последних) литературы, посвященной развитию ...
- ... А я считаю, брак изначально обречен, если женщина заставила мужчину жениться! - рассуждала тут недавно моя знакомая. - Вот сестра моя в свое время, шесть лет назад, "пузом приперла" парня своего. Забеременела и поставила перед фактом. Ну что, справили свадьбу... С тех пор не ...
А сегодня день рождения у permosalim , maha_i_zhuzha , Катрин Денев и у меня. И если с Олегом мы слегка разминулись в годах, то в случае с Махой_и_Жужей у нас идеальное попадание в яблочко. Как это теперь называется? В одном сообществе долго обсуждали и ...
Типичный суп рыбаков прибрежных районов юга Испании, где рыба легко доступна. В некоторых местах он известен как cocido de pescado - «рыбное рагу» Наиболее часто используемыми сортами рыбы для этого блюда являются de rosada o panga
4 порции 1,5 л воды 1 большой спелый помидор 1 большой ...
Мои знакомые часто пишут мне или говорят при встрече "ого у тебя дела-то в гору пошли! творчество твое процветает!", кто то даже умудряется ставить меня своим детям в пример, а мне всегда неловко присваивать эти мнимые успехи, которых как бы и нет. Сейчас объясню ситуацию. Неосознанно, я ...
