DNS Verständnisfragen

[Tekkla]

In Sachen DNS habe ich so manche Verständnisfrage. Dabei geht es gar nicht darum, was DNS ist, sondern eher darum, wie das z.B. mit den Zonen funktioniert.

Nehmen wir dazu meinen Fall:

Extern:
Ich habe eine Domain (exempl. meinedomain.de), samt DNS Verwaltung. Dieser externe DNS verwaltet alles rund um die Webseiten, dient mir für ACME und verweist per CNAME auf Rechner, wie z.B. eine Hetzner Storagebox oder eine Nextcloud Instanz.

Intern:
Der lokale DNS-Server löst bei mir alle Namen auf, die intern laufen, wobei ich meine externe Domain als override bei den jeweiligen Hosts gesetzt habe. So habe ich z.B. einen Proxmoxserver laufen, den man unter pmx.meinedomain.de erreicht. Dank ACME sogar schön mit gültigem HTTPS Zertifikat.

Ist das der Weg, den man als Best Practice ansehen kann? Ich meine, es funktioniert, aber ich bin mir da unsicher. Oder ist das nicht eher schon ein Fall für extern ist die Hauptzone und mein lokales Netz eine Subzone davon?

Ich könnte jetzt 'nen Chatbot fragen, aber das ist mir dann wieder zu technisch. Vielleicht will ich einfach nur hören, dass ich das so schon ganz richtig mache. Und wenn nicht, dann hoffe ich auf einen nicht allzu technischen Vorschlag, wie ich mir ggf. das Leben sogar einfacher machen kann.

In diesem Sinne
Tek

 

[Gast1772925001]

Für eine Zone gibt es zuständige Nameserver, die man auch delegieren kann.
Wenn du example.org hast, kannst du intern.example.org auf deinen eigenen DNS daheim delegieren, wenn es unbedingt sein muss. Ich jedenfalls betreibe einen autoritativen DNS und habe alles dort, macht es am Ende einfacher, weil die lokalen Server, die dann bestimmte Domains anders handhaben, schaffen mehr Chaos als nötig.

 

[Tekkla]

Ich habe das aktuell lokal als transparenten DNS Server angelegt. Lokal hat die Zone die gleiche Domain und leitet dann ja alle unbeantwortbaren Anfragen zu der Domain an den DNS des Servers im Netz weiter, während der Rest über die normalen DNS Server wie z.B. denen von Google läuft.

autoritativen DNS

Arbeitest du dann auch mit lokalerrechner.domain.tld fürs lokale Netz?

 

[Gast1772925001]

Ich habe das aktuell lokal als transparenten DNS Server angelegt. Lokal hat die Zone die gleiche Domain und leitet dann ja alle unbeantwortbaren Anfragen zu der Domain an den DNS des Servers im Netz weiter, während der Rest über die normalen DNS Server wie z.B. denen von Google läuft.

Funktioniert halt nur, wenn auch alle Systeme diesen Server befragen. In Zeiten von DNS over HTTPS im Browser ist das nicht immer so.

Arbeitest du dann auch mit lokalerrechner.domain.tld fürs lokale Netz?

Ja. Ich vergebe da aber nur GUA-IPv6, die ich statisch vergebe (dazu brauchst du ein statisches Präfix vom ISP). Du kannst da aber alle Arten von Adressen eintragen. Ich betreibe zwei BIND9 , die dann autoritativ für die Zone sind. Dann habe ich die volle Kontrolle.