emka2k, То есть в постановке вопроса я не описал, что у меня есть сервер с 10+ сетевухами и мне надо сделать так, чтобы конкретные сетевухи не регистрировались в DNS?
Или я в постановке вопроса прошу кого-то удалённо подключиться за меня и сделать хорошо? Мне кажется, вы читаете какую-то не ту ветку. В моей всё достаточно подробно расписано до степени того, что некоторые даже полностью прочитать ленятся)
Роман Безруков, Тэг-то я укажу, а ходить пакеты будут по одному физическому интерфейсу? Без изоляции на физическом уровне? А пропускная способность какая будет, хватит для всех одного интерфейса?
Вот видите... мы сейчас с вами будем обсуждать как что и почему, вместо конкретного вопроса. Зачем это?) Никто ложить (класть) виртуализацию из-за А записей на DNS сервере не будет. Нужен другой подход, отличный от "отключи все сетевухи и переделай архитектуру". Если бы мне нужно было переделать архитектуру, я бы задал вопрос - помогите переделать архитектуру)
AUser0, Дошёл. Разве это не разделение DC на подсети? Если да, то мне не нужно разделять контроллеры, вопрос вообще в другом. Вопрос - как для конкретного сервера ограничить регистрацию в DNS некоторых сетевых интерфейсов, а не глобально разделить контроллер домена
Valentin Barbolin, А потому что зачем это? Какая разница, почему у меня 10 сетевых интерфейсов? Я вот этого как раз и не хотел - сидеть и каждому объяснять, почему и зачем что-то сделано. Да неважно, почему - надо. Есть конкретный вопрос, в котором описано всё необходимое. Если у вас решение уровня - просто выключи 9 из 10 интерфейсов или давай перелопатим архитектуру кластера виртуализации положив работу всей организации - то спасибо, это я и сам без вопроса смог бы сделать, но требуется именно то, что в вопросе) Люди и имеющийся вопрос-то не до конца прочитали, а вы говорите мне всю ИС в организации выложить, чтобы вместо ответа на конкретный вопрос люди сидели и высказывались, а почему вот тут так, а тут не так
Valentin Barbolin, Если оставить один сетевой интерфейс на сервере, то как в системе виртуализации на этом сервере выбирать подсети (vlan) при разворачивании виртуального сервера? Вы видели когда-нибудь систему виртуализации с одним сетевым интерфейсом?
Чтобы она и с кластером по одному интерфейсу все согласовывала, и с СХД, и в целом? Да их там вообще не 10, а 18
Роман Безруков, на счёт DNS polices я понял, посмотрю на днях, что можно сделать, так как там тоже есть свои нюансы. Положить DNS для всех пользователей из-за пары А записей тоже не очень хочется)
Скорее всего борьба с последствиями тут лучше, потому как решая одну корневую проблему, можно насобирать 5 новых. Учитывая, что это хост виртуализации, дел можно наворотить немало. И мне кажется, проблема как раз в отсутствии настроенного DNS policy, в остальном всё более менее сделано как и необходимо
Максим Корнеев, у вас есть пример архитектуры, которая покрывает все запросы бизнеса и при этом супер идеальная? И в процессе её использования никогда не возникнет никаких вопросов? На которые придет человек и скажет - архитектура гамно, надо переделывать из-за какого-то одного вопроса)
Есть конкретный вопрос в теме. Он не звучит "как переделать всю архитектуру, чтобы не регистрировалась А запись на DNS сервере". Если вы не знаете, как ответить на заданный вопрос, просто пройдите мимо или скажите: "чувак, я не знаю, как решить конкретно твой вопрос, но я могу предложить вот это...". Если вы пришли показать, какой вы крутой и как у остальных все неправильно - я вас тут не жду
Но появятся другие?)
Или потом обсудим оплату внедрения архитектуры, в процессе которой положим работу всей организации для того, чтобы DNS не регистрировал интерфейсы одного сервера?
Какие конкретно ссылки редиректит? Напишите хотя бы несколько примеров)
Проверяли ли файл hosts?
Например, если хотите зайти, условно говоря, на gosuslugi.ru, а вас редиректит на другой сайт... попробуйте зайти на gosuslugi.ru не по доменному имени, а по IP-адресу, если по IP-адресу не редиректит, то тогда копаем в сторону подмены DNS ответов. Если всё-равно редиректит, то DNS, скорее всего, не причём, нужно смотреть в другом направлении. Условно говоря, нужно понять, действительно ли вас именно редиректит, или просто подменяется А запись и отдаётся IP другого сайта
Valentin Barbolin, Для доступа сервера к разным VLAN-ам, а что? Это как-то влияет на решение вопроса? Или вы хотели предложить - отключи все сетевухи кроме одной?)
А от ответа на этот вопрос как-то зависит решение проблемы?) Ну надо, зачем. Для хождения по VLAN-ам. И на самом деле их не 10, а 18 вообще, виртуализация там хостится... зачем это объяснять? Ну есть и есть, вопрос же не в том, зачем они мне, а как убрать автоматическую регистрацию этих интерфейсов в DNS
То, что они на ник.ру, это я, конечно, глянул, но то, что можно этим воспользоваться, мне как-то в голову не пришло... мысль интересная. Тогда, получается, эта "уязвимость" SPF записи актуальна для всех, кто пользуется SaaS почтовыми серверами. Во дела
Василий Банников, Ну то есть, такими темпами, каждую неделю будет приходить письмо с просьбой заблокировать очередной почтовый ящик на домене fstec.ru пока не перебранят весь домен. И тогда будет дело с концом)
Неплохое решение проблемы
А есть примеры такого ПО? Проверка осуществляется не на почтовом сервере получателя? Сейчас есть почтовые серверы, которые не знают об этих ресурсных записях?
В таком случае... можно рассылать письма не от ufo@fstec.ru, а напрямую от postin@fstec.ru и в следующей рассылке ФСТЕК попросит заблокировать и его? И больше нельзя будет получить электронное письмо от легитимного postin@fstec.ru? И всё это, вместо рекомендаций не использовать почтовые серверы 20-ти летней давности?
Мы так и будем блокировать 1@fstec.ru, 2@fstec.ru, ... n@fstec.ru и заблокируем весь домен (и ещё чёрт знает сколько других доменов) вместо того, чтобы разослать письмо не с просьбой блокировки конкретный ящиков, а о переходе на защищённые почтовые серверы без уязвимостей? Это нормально?)
Или я в постановке вопроса прошу кого-то удалённо подключиться за меня и сделать хорошо? Мне кажется, вы читаете какую-то не ту ветку. В моей всё достаточно подробно расписано до степени того, что некоторые даже полностью прочитать ленятся)