DNS Split Brain - Whole Brain

Verwijderd schreef op zondag 09 februari 2014 @ 13:08:
Is het nu zo dat wanneer ik een Whole Brain DNS gebruik ik dus een .local en een .com heb. Ik dan in mijn .local DNS server wat moet forwarden naar mijn .com DNS? Of heb ik 't niet helemaal goed begrepen?

Ik denk dat je het niet goed begrepen hebt. Je hoeft vanuit jouw lokale DNS server niet te forwarden naar jouw publieke DNS-server. Je moet gewoon forwarden naar een publieke DNS-server.
DNS is zo ingericht dat die publieke DNS-server het dan verder voor jou regelt. Dit is voor jouw eigen .com domein dus precies hetzelfde als voor elk ander .com domein.

Er ontstaat snel spraakverwarring rond DNS, vooral bij split-brain DNS, omdat DNS twee functies onderscheidt: Je hebt (1) een server die resolving verzorgt voor clients en (2) een server die authoritive is voor jouw DNS-zones. Let daar op. Als je dat verschil niet ziet dan ga je split-brain ook niet snappen.

Verder kan ik in het NL hier niet zo heel veel over vinden, vooral niet over hoe het op te gaan zetten.
Welke voorkeur hebben jullie? Een split of whole brain dns?

Het is maar een mening maar split-brain DNS en whole-brain DNS zijn in mijn ogen allebei prima. Je kunt dat gewoon gebruiken en later aanpassen als je behoeften veranderen.

Ik ben wel tegen het gebruik van niet-gereserveerde domainnamen als .local. Het probleem met niet-gereserveerde domeinen is dat je vertrouwt op 2 aannames:

1. Het niet-gereserveerde domein bestaat niet en zal ook nooit bestaan.
2. Je hoeft later geen koppelingen met andere omgevingen te leggen.

Beide aannames vind ik kortzichtig. Nu iedereen z'n eigen TLD kan kopen wordt de kans op conflicten tussen gereserveerde en niet-gereserveerde domeinnamen groter en principieel zou je niet moeten kiezen voor namen die mogelijk niet uniek blijven.
Toegegeven: De kans dat .local ooit beschikbaar komt, gezien de schaal waarop het "illegaal" gebruikt wordt, is klein.

Verwijderd schreef op zondag 09 februari 2014 @ 19:27:
Dus als ik bij een Whole brain DNS bij mijn forwarders naar 8.8.8.8 verwijs is dit dus voor een whole brain al in orde?

In principe wel. Jouw DNS-server zal dan alle queries forwarden voor zones waar hij niet zelf authoritive voor is.

Dit gedeelte vind ik idd lastig, zou je het in simpele woorden uit kunnen leggen? Ik heb er al aardig wat over gelezen, maar lastig materiaal, en idd verwarrend!

Ik denk niet dat ik het beter kan uitleggen dan al dat materiaal wat er al op internet staat. Het beste is waarschijnlijk om gewoon een testomgeving neer te zetten en het dan in de praktijk te doen. Daardoor viel bij mij het kwartje ook.

Ik zou sowiso afstappen van het hele .local, .corp en whatsoever gebeuren ook voor Active Directory. Je gaat alleen maar problemen krijgen wanneer je met certificaten aan de gang gaat voor bijvoorbeeld Exchange en dergelijke. maak liever een corp.<mijnbedrijf>.com of corp.<mijnbedrijf>.nl domein voor je AD en geef je gebruikers allemaal een <mijnbedrijf>.<tld> upn,

Verwijderd schreef op zondag 09 februari 2014 @ 22:36:
dus als ik een bedrijf zou hebben, dan zou dat bijv zo gaan:

corp.mijnbedrijf.nl en dan geef ik bij de UPN van mijn gebruikers dus gebruiker@mijnbedrijf.nl?

waarom zou je de CORP ervoor doen?

Een test omgeving hiervoor moet ik idd nog gaan bouwe hiervoor

Zo'n subdomein kan handig zijn als je Windows met Active Directory draait. AD, maar ook sommige applicaties, vereist Dynamic DNS en vult DNS automatisch met allerlei Windows-specifieke records. Soms wil je die Windows-specifieke zaken niet in je hoofddomein hebben maar isoleren in een Windows-specifiek domein. Het maakt dan niet veel uit of je een subdomein onder je hoofddomein hangt of er een aparte domeinnaam voor aanvraagt.

downtime schreef op zondag 09 februari 2014 @ 17:52:
[...]

Ik denk dat je het niet goed begrepen hebt. Je hoeft vanuit jouw lokale DNS server niet te forwarden naar jouw publieke DNS-server. Je moet gewoon forwarden naar een publieke DNS-server.
DNS is zo ingericht dat die publieke DNS-server het dan verder voor jou regelt. Dit is voor jouw eigen .com domein dus precies hetzelfde als voor elk ander .com domein.

Er ontstaat snel spraakverwarring rond DNS, vooral bij split-brain DNS, omdat DNS twee functies onderscheidt: Je hebt (1) een server die resolving verzorgt voor clients en (2) een server die authoritive is voor jouw DNS-zones. Let daar op. Als je dat verschil niet ziet dan ga je split-brain ook niet snappen.


[...]

Het is maar een mening maar split-brain DNS en whole-brain DNS zijn in mijn ogen allebei prima. Je kunt dat gewoon gebruiken en later aanpassen als je behoeften veranderen.

Ik ben wel tegen het gebruik van niet-gereserveerde domainnamen als .local. Het probleem met niet-gereserveerde domeinen is dat je vertrouwt op 2 aannames:

1. Het niet-gereserveerde domein bestaat niet en zal ook nooit bestaan.
2. Je hoeft later geen koppelingen met andere omgevingen te leggen.

Beide aannames vind ik kortzichtig. Nu iedereen z'n eigen TLD kan kopen wordt de kans op conflicten tussen gereserveerde en niet-gereserveerde domeinnamen groter en principieel zou je niet moeten kiezen voor namen die mogelijk niet uniek blijven.
Toegegeven: De kans dat .local ooit beschikbaar komt, gezien de schaal waarop het "illegaal" gebruikt wordt, is klein.

Goed verhaal. Ter aanvulling: RFC 6762 heeft .local al gereserveerd. Wikipedia: .local

downtime schreef op zondag 09 februari 2014 @ 17:52:
[...]

Ik denk dat je het niet goed begrepen hebt. Je hoeft vanuit jouw lokale DNS server niet te forwarden naar jouw publieke DNS-server. Je moet gewoon forwarden naar een publieke DNS-server.
DNS is zo ingericht dat die publieke DNS-server het dan verder voor jou regelt. Dit is voor jouw eigen .com domein dus precies hetzelfde als voor elk ander .com domein.

Er ontstaat snel spraakverwarring rond DNS, vooral bij split-brain DNS, omdat DNS twee functies onderscheidt: Je hebt (1) een server die resolving verzorgt voor clients en (2) een server die authoritive is voor jouw DNS-zones. Let daar op. Als je dat verschil niet ziet dan ga je split-brain ook niet snappen.

<<BLA BLA BLA>>

Volgens mij heb jij split brain niet goed begrepen, wat je hier beschrijft is gewoon het DNS resolving mechanisme. Split-Brain is dat je hetzelfde "DNS domein" gebruikt voor zowel Internet als Intranet(Intern). Vaak heb je dan twee DNS servers, eentje die voor interne zaken gebruikt wordt en eentje die publiek draait. Je zet dan interne records gewoon netjes in je interne zone, en de rest stuur je via forwarding door naar de publieke dns server. Wordt veel gebruikt als je filtering wilt gaan via OpenDNS.

Bijvoorbeeld, mijn bedrijf heet Tweakers
Intern gebruik ik tweakers.net en mijn internet domeinnaam die ik gebruik is ook tweakers.net.

[ Voor 19% gewijzigd door Turdie op 10-02-2014 07:07 ]

shadowman12 schreef op maandag 10 februari 2014 @ 05:17:
Volgens mij heb jij split brain niet goed begrepen, wat je hier beschrijft is gewoon het DNS resolving mechanisme. Split-Brain is dat je hetzelfde "DNS domein" gebruikt voor zowel Internet als Intranet(Intern). Vaak heb je dan twee DNS servers, eentje die voor interne zaken gebruikt wordt en eentje die publiek draait.

Het is juist dat laatste wat split-brain bepaalt, bij split-brain heb je verschillende DNS-zones voor intern en voor publiek gebruik. Dus een 'view' die bepaald wordt aan de hand van je locatie.

Overigens zijn corp.domain.com en domain.com net zo verschillend van elkaar als domain.local en domain.com. Ik zie hier de toegevoegde waarde niet zo van in.

[ Voor 4% gewijzigd door Jazzy op 10-02-2014 10:07 ]

Hier staat het goed uitgelegd:

MSDN: DNS and Active Directory