subdomínio DNS (filho) registros NS

Question

subdomínio DNS (filho) registros NS

#1 resposta do (5 votos)
#2 resposta do (1 votos)

5

este é meu primeiro post aqui, então me desculpe se eu não postar tudo corretamente.

de qualquer forma, minha pergunta é sobre arquivos de zona em zonas pai e filho. se tivermos example.com , configuraríamos algo assim:

$ORIGIN example.com.
@  1D  IN  SOA ns1.example.com. hostmaster.example.com. (
                  2002022401 ; serial
                  3H ; refresh
                  15 ; retry
                  1w ; expire
                  3h ; nxdomain ttl
                 )
          IN  NS     ns1.example.com.
          IN  NS     ns2.example.com.

já que na zona pai .com. já existe um registro NS para a zona filho example.com. e um registro glue para o ns1.exemplo .com. para que propósito declaramos registros NS novamente na zona filho?

e também precisamos declarar um registro para os servidores de nomes na própria zona filho?

espero que você entenda a minha pergunta.

obrigado em avançado.

domain-name-system ns-record

por urlator 18.12.2016 / 11:53

2 respostas

1

Por mais que eu odeie discordar do meu estimado colega, os registros NS dentro da zona servem para alguns propósitos. Por exemplo, o NS 1ary precisa saber quem são todos os outros NSs para que, no caso de uma atualização de zona, ele possa enviar todos os NOTIFYs de DNS, para que eles saibam realizar transferências de zona. Essas informações são obtidas desses registros NS na zona.

Quanto aos registros DS sem nenhuma contrapartida na zona, o DS é um resumo simples do registro KSK DNSKEY na zona. Esse registro, assim como os registros NS , teria sido espelhado dentro e fora da zona se não fosse pelo comprimento considerável de registros KSK e pelas implicações de desempenho para domínios com dezenas de milhões de entradas filhas, como .com , de manter um número similar de registros de tamanho arbitrário. Assim, a decisão de manter apenas um resumo na zona pai - mas eles ainda são o mesmo registro, e as cópias de entrada e saída devem corresponder, assim como com os registros NS .

tl; dr

Håkan está certo; você precisa desses registros na zona, e eles realmente devem coincidir com as cópias fora da zona (cola). Geralmente, não viole os RFCs, a menos que você tenha certeza de que sabe o que está fazendo.

por 18.12.2016 / 14:33

Tags domain-name-system ns-record

É normal que o tráfego de entrada exceda em muito o tráfego de saída? Práticas recomendadas para fazer backup no Amazon s3 e NAS

score 5 · Accepted Answer

A maneira como funciona

Os registros autoritativos NS residem dentro da própria zona (e são fornecidos na seção ANSWER quando o servidor autoritário é consultado), assim como todos os outros registros que fazem parte dessa zona.

Para poder percorrer a árvore, as informações de referência / delegação / autoridade ( NS e qualquer cola A / AAAA registros necessários) também são adicionadas à zona pai.
Essas informações, no entanto, não são tratadas como "resposta real", a resposta não possui o sinalizador AA (resposta autoritativa) e os registros NS estão na seção AUTHORITY para indicar que se trata apenas de informações sobre quem a resposta real.
Uma implicação disso é que, se você fizer uma pesquisa direta de NS registros, seguirá essa referência e consultará o servidor autoritativo, apesar de ter acabado de ver o que deve ser a mesma informação.

Por que foi definido para funcionar dessa maneira?

Presumivelmente porque foi considerado adequado / limpo / lógico que todos os registros autoritativos residem dentro da zona à qual pertencem e que deve haver registros autoritativos também para NS .

Isso poderia ter sido definido de forma diferente?

Sim. Veja, por exemplo, como DS registros foram definidos quando introduzidos muito mais tarde. Nesse caso, não existe tal registro dentro da zona filho, em vez disso, é o pai que é autoritativo.

Posso fazer diferente?

Não. Porque foi definido da maneira que foi e todo o software lá fora funciona com base em como foi definido, as coisas vão quebrar (muitas vezes de forma sutil), se você não fizer isso corretamente.

tl; dr

Você precisa dos mesmos NS registros na sua zona e como informações de delegação na zona pai. Da mesma maneira, todos os registros A / AAAA da colagem também precisam existir como registros autoritativos reais.