DNS referral / delegation: qual DNS é responsável; Como delegar o caminho certo?

4

Introdução

Comprei o domínio earechnung.at com o Hetzner e estou usando meu espaço na Web em All-Inkl . Eu quero usar os servidores de nomes do meu webhost (All-Inkl).

Zonefiles e Nameservers

Como registrei o domínio com o Hetzner, as listas nic.at (registro de domínio austríaco) os seguintes servidores de nomes (todos os de Hetzner):

Nameserver (Hostname) 1: ns.second-ns.com
Nameserver (Hostname) 2: ns1.your-server.de
Nameserver (Hostname) 3: ns3.second-ns.de

Arquivo de Zona no Hetzner

O arquivo de zona no Hetzner agora se parece com o seguinte:

$TTL 7200
@   IN SOA ns5.kasserver.com. office.earechnung.at. (
    2014030300   ; serial
    14400        ; refresh
    1800         ; retry
    604800       ; expire
    86400 )      ; minimum

@                        IN NS      ns6.kasserver.com.
@                        IN NS      ns5.kasserver.com.

@                        IN A       85.13.135.165
mail                     IN A       85.13.135.165
www                      IN A       85.13.135.165
w3                       IN A       85.13.135.165
ftp                      IN CNAME   www
imap                     IN CNAME   mail
pop                      IN CNAME   mail
relay                    IN CNAME   mail
smtp                     IN CNAME   mail
@                        IN MX 10   mail

Então, o que eu queria era delegar tudo aos servidores de nomes do All-Inkl (ns5 / 6.kasserver.com). Por isso mencionei-os como SOA e NS. No entanto, parece que o DNS Hetzner responde diretamente aos pedidos.

Arquivo de zonas do Inkl

O sistema de administração do All-Inkl se parece com o seguinte para o DNS:

DNS-Queries

nslookupdomeuclientedowindows

>nslookup-type=A-debugw3.earechnung.at.------------...------------Gotanswer:HEADER:opcode=QUERY,id=2,rcode=NOERRORheaderflags:response,wantrecursion,recursionavail.questions=1,answers=1,authorityrecords=2,additional=2QUESTIONS:w3.earechnung.at,type=A,class=INANSWERS:->w3.earechnung.atinternetaddress=85.13.135.165ttl=4933(1hour22mins13secs)AUTHORITYRECORDS:->earechnung.atnameserver=ns5.kasserver.comttl=4608(1hour16mins48secs)->earechnung.atnameserver=ns6.kasserver.comttl=4608(1hour16mins48secs)ADDITIONALRECORDS:->ns5.kasserver.cominternetaddress=85.13.128.3ttl=3758(1hour2mins38secs)->ns6.kasserver.cominternetaddress=85.13.159.101ttl=2220(37mins)------------NichtautorisierendeAntwort:Name:w3.earechnung.atAddress:85.13.135.165

Rastreamentoon-line

OrastreamentodoarquivoDNScom simpledns.com gera o seguinte:

Tracing DNS delegation for "w3.earechnung.at":

Loading root server list (static data):
-> a.root-servers.net (198.41.0.4)
-> b.root-servers.net (192.228.79.201)
-> c.root-servers.net (192.33.4.12)
-> d.root-servers.net (128.8.10.90)
-> e.root-servers.net (192.203.230.10)
-> f.root-servers.net (192.5.5.241)
-> g.root-servers.net (192.112.36.4)
-> h.root-servers.net (128.63.2.53)
-> i.root-servers.net (192.36.148.17)
-> j.root-servers.net (192.58.128.30)
-> k.root-servers.net (193.0.14.129)
-> l.root-servers.net (199.7.83.42)
-> m.root-servers.net (202.12.27.33)
Sending request to "f.root-servers.net" (192.5.5.241)
Received referral response - DNS servers for "at":
-> r.ns.at (194.0.25.10)
-> d.ns.at (81.91.161.98)
-> ns9.univie.ac.at (194.0.10.100)
-> u.ns.at (195.66.241.82)
-> ns1.univie.ac.at (78.104.144.2)
-> n.ns.at (81.91.173.130)
-> j.ns.at (194.146.106.50)
-> ns2.univie.ac.at (192.92.125.2)
Sending request to "n.ns.at" (81.91.173.130)
Received referral response - DNS servers for "earechnung.at":
-> ns3.second-ns.de (no IP address)
-> ns.second-ns.com (no IP address)
-> ns1.your-server.de (no IP address)
Attempting to resolve DNS server name "ns1.your-server.de" (details not logged)
Resolved DNS server name "ns1.your-server.de" to IP address 213.133.106.251
Sending request to "ns1.your-server.de" (213.133.106.251)
Received authoritative (AA) response:
-> Answer: A-record for w3.earechnung.at = 85.13.135.165
-> Authority: NS-record for earechnung.at = ns5.kasserver.com
-> Authority: NS-record for earechnung.at = ns6.kasserver.com
Trace DNS Delegation for another domain name

Perguntas

Minhas perguntas agora são:

  1. Existe uma prática recomendada para este cenário (domínio com o Hoster A, espaço da Web com o Hoster B)?
    1. Devo dar o SOA para o Hetzner dns ou todo o inkl?
    2. Devo alterar o nameserver diretamente em nic.at?
    3. No meu entender, eu não forneci um registro de cola (registro A) para ns5 e ns6.kasserver.com. Preciso de um ou isso é feito automaticamente?
  2. E se eu quiser usar algo como CloudFlare ? Como a delegação entre Hetzner, All-Inkl e Cloudflare funciona melhor?
  3. Qual servidor realmente responde à solicitação?
    1. Se eu consultar w3 .earechnung.at que é digitado em ambos os servidores dns, parece-me que o Hetzners ns1.your-server.de responde com uma resposta não autoritativa e afirma que ns5. kasserver.com é autoritativo). Estou certo?
    2. Se eu consultar ai .earechnung.at que é registrado apenas no servidor do All-Inkls dns, recebo algo como ai.earechnung.at. wurde von UnKnown nicht gefunden: Domínio inexistente ou servidor não pode encontrar ai.earechnung.at: NXDOMAIN
  4. Acho que deleguei todo o site para o servidor de DNS totalmente em tinta. Isso é correto ou existe uma maneira melhor? Eu tenho que configurar cada subdomínio no servidor todo-inkl?

Pesquisa

Também observei as seguintes perguntas, mas não consegui encontrar uma resposta (ou pelo menos não entendi):

por Alexander Taubenkorb 26.03.2014 / 09:50

1 resposta

6

Em primeiro lugar, posso parabenizá-lo pelo que considero uma pergunta bem escrita, clara e bem pesquisada, e por não redigir o nome de domínio; esse último é extremamente útil para responder.

Deixe-me abordar o problema principal, se eu puder: o whois aponta para um conjunto de servidores de nomes diferente daquele que você configurou para ser autoritário:

[me@risby ~]$ whois earechnung.at
[Querying whois.nic.at]
[...]
domain:         earechnung.at
registrant:     MAT8777331-NICAT
admin-c:        AT8777330-NICAT
tech-c:         MH536567-NICAT
nserver:        ns1.your-server.de
nserver:        ns3.second-ns.de
nserver:        ns.second-ns.com
changed:        20121004 15:29:23
source:         AT-DOM

Observe os três servidores listados. Eu concordo que você tem esses servidores configurados para servir registros NS que apontam a consulta para outro lugar - mas você também os configura com dados para responder à solicitação autoritativa, e o servidor deles acredita ser autoritativo para a zona e, portanto, pode legitimamente retornar respostas negativas autoritativas para RRs que ele não conhece. A coisa certa a fazer neste caso é voltar para o registrador, que acho que é o Hetzner nesse caso, e alterar os registros do servidor de nomes não em seu servidor DNS, mas em seu servidor de registro - o dispositivo que preenche o whois para .at. - para retornar seus dois novos servidores ns5.kasserver.com. e ns6.kasserver.com.

O negócio de servir um conjunto de registros NS para delegar uma subzona funciona perfeitamente quando é usado para fazer isso: delegar uma subzona da que foi seguida para o conjunto atual de servidores de nomes. Usá-los mais como um redirecionamento HTTP 301 é incomum e - como você descobriu - pode não funcionar perfeitamente.

Quanto à prática recomendada, é completamente normal usar um provedor para registro e outro para provisão de DNS. Dito isso, as duas tarefas costumam ser tão bem soldadas que alguns registradores não conseguem lidar com uma zona registrada em servidores DNS, exceto os deles. Se Hetzner for um desses, você precisará transferir o registro de domínio para outro registrador.

    
por 26.03.2014 / 10:02