供IT专业人士使用的域名冲突识别与缓解指引.pdf

供 IT 专业人士使用的域名冲突识别 与缓解指南 2013 年 12 月 5 日 1.0 版 目录 1. 简介 3 1.1 域名冲突 3 1.2 专用 TLD 引起的域名冲突 4 1.3 搜索列表引起的域名冲突 4 2. 域名冲突引起的问题 6 2.1 定向到意外网站 6 2.2 电子邮件定向至错误的收件人 6 2.3 安全性降低 7 2.4 受域名冲突影响的系统 7 3. 何时需要缓解域名冲突 9 3.1 确定出现冲突的可能性 9 4. 缓解专用 TLD 相关问题的步骤 11 4.1. 监控对权威域名服务器的请求 11 4.2. 创建自动使用专用 TLD 的各个系统的清单 12 4.3. 确定您的全球 DNS 域名的管理事宜 12 4.4. 将专用命名空间的根更改为使用全球 DNS 中的域名 12 4.5. 为主机分配 IP 地址（如有需要） 12 4.6. 创建监控新旧专用域名之间的对等性的系统 12 4.7. 培训用户和系统管理员使用新域名 13 4.8. 将每个受影响的系统转变为使用新域名 13 4.9. 在域名服务器上开始监控旧专用域名的使用情况 13 4.10. 在外围设立长期监控措施监测旧专用域名 13 4.11. 将所有使用旧根的域名更改为指向非功能性地址 14 4.12. 撤销为旧专用域名下的任何主机颁发的证书 14 4.13. 使用新域名长期运营 14 5. 缓解与搜索列表相关的域名冲突的步骤 15 5.1. 监控对域名服务器的请求 15 5.2. 创建自动使用简短非限定域名的各个系统的清单 15 5.3. 培训用户和系统管理员使用 FQDN 15 5.4. 将每个受影响的系统转变为使用 FQDN 16 5.5. 关闭共享域名解析器上的搜索列表 16 5.6. 在域名服务器上开始监控简短非限定域名的使用情况 16 5.7. 在外围设立长期监控措施监测简短非限定域名 16 6. 摘要 17 附录 A ：更多阅读材料 18 A.1.新 gTLD 计划简介 18 A.2.DNS 中的域名冲突 18 A.3.新 gTLD 冲突事件管理计划 18 A.4.新 gTLD 问题：无点域名和域名冲突 18 A.5.SAC 045 ：根级域名系统中的无效顶级域名查询 18 A.6.SAC 057 ：SSAC 关于内部域名证书的咨询报告 18 2 1. 简介 新顶级域名引入全球 DNS 根以后组织可能会发现某些其网络专用的 “内部”域名解析查询返回不同值， 即向用户和程序提供不同的结果。这里涉及两个基本问题：一是 “内部”域名泄露到全球互联网，二是 专用命名空间的定义与全球 DNS 命名空间冲突。 造成这种不同结果的原因是，网络管理员原本希望使用内部命名空间在本地解析 DNS 查询，但是现在却 使用全球 DNS 中的新顶级域名数据进行解析。在这种情况下，未曾料想会离开内部互联网的查询现在却 在全球 DNS 中获取结果，因此得到的结果会有所不同。导致不同结果的泄露域名至少会给用户带来困扰 （例如，可能造成网页访问延时）。还可能造成安全问题（例如，向错误的收件人发送电子邮件）。 本文档包含组织使用的最常见的专用命名空间类型的冲突缓解与预防策略。还描述了当内部域名泄露到 全球 DNS 时组织可能遇到的情况，并详细说明了建议的缓解措施。文中提供的说明和建议针对 IT 专 业人员（网络管理员、系统管理员和 IT 部门员工），这些人员一般都了解 DNS 和他们自己的内部域 名系统是如何工作的。如欲了解更多背景信息，请