Hlavní navigace

Galimatyáš v doménových záznamech

Karel Chvalovský 25. 4. 2001

Jednou z největších databází na světě je v současnosti nepochybně systém doménových jmen. Dnes je již tak spletitý, že je velice problematické pokaždé ohlídat všechny změny. K tomu všemu je ještě nutno připočít často se vyskytující špatné nastavení a používání nevhodných aliasů a problémy jsou hned na světě.

Systém doménových jmen je nepochybně jedním z nejdůležitějších internetových vynálezů a zásadním způsobem přispěl k jeho rozšíření mezi laické uživatele. Je však také nepochybně jednou z nejsložitějších součástí Internetu. To je možná zásadní problém, zvláště v době, kdy se jejich správou často zabývají lidé, kteří nemají přiliš času studovat všemožné nastavování nameserverů.

Není proto nic výjimečného, že nastavení domén příliš neodpovídá RFC. Pokud si přesto myslíte, že máte vše nastaveno podle standardů a doporučení, možná vás překvapí výstup ze skvělé utility Sleuth Martina Mareše. Sebekriticky musím přiznat, že ani my v tomto testu příliš nezáříme, spíše naopak… Testem správnosti nastavení se stala téměř výhradně funkčnost a podrobněji se doménové záznamy zkoumají až v případě nějakých problémů.

Jedním z typů záznamů je CNAME, který umožňuje vytvářet aliasy doménového jména. Jde o funkci velmi praktickou, zvláště při provozu několika doménových jmen pro jeden stroj (s jednou IP). Stroj dostane jeden doménový záznam typu A, který přiřazuje doménovému jménu přímo IP a ostatní doménová jména tohoto stroje jsou již pouze CNAME na tento doménový záznam. Hlavní výhodou tohoto způsobu je fakt, že při změně IP adresy stačí změnit pouze jeden doménový záznam namísto zdlouhavého dohledávání všech, které k dané IP adrese patří a jejich pracné změny. Celá tato myšlenka však stojí na tom, že se doménové jméno stroje s A záznamem nebude příliš často měnit. Pak bychom si tímto způsobem totiž vůbec nepomohli. Z výše uvedeného plyne jedno základní pravidlo, snažit se minimalizovat výskyt cizích domén při používání CNAME, pouze u vlastních totiž můžeme zaručit, že se nezmění!

To se vymstilo zákazníkům sítě Video On Line (VOL). Ta doposud označovala gatewaye na rozhraní její sítě a sítě zákazníka doménovým jménem v doméně vol.cz. Tím se samozřejmě začal v této doméně velmi rychle plnit prostor a stávala se prakticky nepřehlednou. To podle Jana Redla z VOL způsobovalo problémy např. helpdesku a na provozovatele sítě VOL se také díky tomoto označení počítačů obracely různé subjekty, které z počítačů s adresou něco.vol.cz dostávaly spam atd. Z administrativních důvodů se proto VOL rozhodla přesunout gatewaye všech svých zákazníků pod doménu customer.vol.cz. Na první pohled naprostá banalita, proto VOL ani nepovažovala za nutné informovat zákazníky, čímž narazila. Krátce po změně první „várky“ zákazníků se totiž začaly objevovat problémy.

Důvod byl jednoduchý, klienti vesele používali gatewaye k různým dalším službám, to by však samo o sobě nebyl problém, pokud by také dále nepřebírali svá doménová jména něco.vol.cz. Ta se však v různých CNAME záznamech vyskytovala zcela běžně. Výsledkem pak byly např. nechodící mail servery, záložní mail servery (MX), nameservery a další služby, které využívaly aliasu nebo přímo domény něco.vol.cz. Z pohledu VOL je na tom pikantní především to, že k pevným linkám nabízí zdarma registraci domény druhé úrovně v TLD .cz. Každý klient tudíž mohl používat pro označení své gateway primárně doménové jméno ze své vlastní domény a nikoli z vol.cz.

Chybu tedy lze hledat spíše na straně zákazníků, kteří využívali pro své služby doménové jméno nad nímž neměli prakticky žádnou kontrolu a mohli pouze spoléhat na to, že se jejich poskytovatel nerozhodne nic měnit. VOL však také není úplně bez viny, protože určitě měla uživatele o chystané změně informovat a navíc se dalo velmi dobře předpokládat, že podobné problémy nastanou. V řadě případů je totiž gateway jediným počítačem skutečně připojeným k Internetu, ostatní uživatelé přistupují přes proxy server či využívají různých způsobů překladu IP adres atd. Pak je pochopitelné, že na takovém serveru běží všemožné služby a zda stroj používá vhodnou doménu, nikdo příliš neřeší. Na obhajobu VOL je nutno uvést, že každý zákazník, který se na ni obrátil s tím, že by chtěl na své gateway provozovat server či jiné služby, byl na možnost podobného problému upozorněn a bylo mu doporučeno používat doménové jméno ze své vlastní domény.

Abychom nepomlouvali pouze VOL, podobně pochybné nastavení se vyskytuje prakticky u všech ISP snad pouze s tím rozdílem, že tato gateway je většinou pro zákazníka „černou skříňkou“, takže na ni nemůže provozovat žádné svoje služby a tím pádem podobné problémy odpadají.

Snahu VOL je však nutno také částečně pochválit, pokud totiž doménové jméno gatewaye obsahuje např. ono customer, tak je každému – i méně zkušenému -uživateli jasné, kde končí síť poskytovatele a kde začína síť zákazníka. Tím ISP ulehčí práci nejen ostatním, ale také sobě, jak ostatně vyplývá z výše uvedených důvodů, které k tomuto kroku VOL vedly. V současné době si tím však VOL spíše problémy přidělala, protože veškeré změny musí konzultovat se zákazníky, aby se neopakovaly problémy z minulého týdne.

Pokud jde o odkazování na špatná doménová jména v CNAME, jde o poměrně rozšířený nešvar, gatewaye jsou toho nejlepším důkazem. Existují však případy, byť dnes již pouze ojedinělé, kdy podobně špatných doménových jmen využívají např. hostované počítače atd. Provozovatelé podobných strojů jsou prostě nepoučitelní. Tento článek tak rozhodně nemá sloužit jako dokumentace neschopnosti jednoho konkrétního poskytovatele, ale přinejmenším podivného přístupu uživatelů k problematice doménových jmen. Uvedený problém je ostatně pouze jedním z mnoha.

Anketa

Svoji gateway maté pod doménou?

Našli jste v článku chybu?

26. 4. 2001 2:23

Dan Lukes (neregistrovaný)
Ta veta, kterou jsem citoval ... - celou dobu se mluvi prevazne o CNAME a pak plynule prejdete do konstatovani, ze vysledkem byly nechodici ... (i kdyz zcela na konci vety se krci i moznost, ze pouzivaly nikoli CNAME, ale primo prislusne jmeno) - proste jsem mel pocit, ze prilis akcelerujete problem CNAME. Mozna, kdyz si predstavuji, ze clovek, ktery nema s DNS vyrazne zkusenosti muze z uvedeneho dovodit chybne zavery o vztahu MX, NS a CNAME zaznamu (ackoliv v clanku neni nic spatneho explicitne…

25. 4. 2001 22:25

Karel Chvalovský (neregistrovaný)
Pokud jde o to, ze clanek se po prvnich odstavcich zamotava, tak je to nejspise tim, ze se tam nekolikrat opakuje to same...

Problem s hledanim opravdu pri spravne konfiguraci odpada, problemem je vsak vsechno pote zmenit. Casto je problemem opravdu i to dohledani... Uznavam vsak, ze pri spravne konfiguraci to odpada.

Prilis nechapu. Nikde netvrdim, ze pouzivat CNAME na MX, nameservery atd. je spravne, pouze rikam, proc to neslo. Pokud je to takto spatne nastaveno, pak IMHO nechodici names…



Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?