Incompatibilidade nos registros NS e cola na zona pai, onde cada NS ainda é auth

2

O que acontece com a inconsistência do registro de cola, em que cada servidor listado como NS server na zona pai da zona filha sempre responde com registros de maneira autoritária em relação à zona filha, mas não é necessariamente listado como um servidor NS dentro da própria zona filho?

Por exemplo, se b.dns.ripn.net. da zona pai su. disser que meu corporate.su. é controlado pelo servidor d.ns.corporate.su. com endereço IP 2001:db8::d , mas ao se conectar a 2001:db8::d , alguns dos seguintes as coisas acontecem:

  • a zona corporate.su. está presente como autoritativa no servidor 2001:db8::d , mas não há menção a nenhum servidor NS que possa resolver para um endereço IP de 2001:db8::d

  • um registro para d.ns.corporate.su. está faltando na lista de NS servidores para corporate.su. , mas outro NS registro, d.ns.example.net. , está presente, mas ainda assim resolve 2001:db8::d

    • e se d.ns.corporate.su. , da zona pai, ainda for resolvido na zona filha, mas para outro endereço IP?
    • e se d.ns.corporate.su. nem sequer resolver em meus servidores oficiais, ao contrário da cola na zona pai?

E se eu tiver vários desses registros NS na zona pai de meus servidores de domínio que respondam autoritativamente a consultas relacionadas à minha zona, mas todos ou alguns deles tenham algum tipo de incompatibilidade nos nomes de seus registros dentro da própria zona? zona infantil que contradiz a zona pai?

Eu tentei usar dig +nssearch e dig +trace , mas parece que dig sofre vários problemas de poluição e cura silenciosa, e não torna nada óbvio o que realmente acontece nos bastidores.

    
por cnst 14.02.2013 / 00:40

1 resposta

4

O problema agora é que seu domínio ainda não é delegado.

Pelo que vejo nas informações whois do domínio, você o registrou hoje. Seu domínio está registrado, mas ainda não foi delegado;

whois corporate.su | grep state
state:         REGISTERED, NOT DELEGATED

A FAQ do nic.ru na verdade afirma que leva entre 6 horas e vários dias para que a delegação realmente entre em vigor.

Dito isso, você parece ter muita entrada NS no arquivo de zona quando eu consultar um de seu servidor de nomes prestes a ser delegado e autorizado .

Você tem um total de 9 entradas NS.

dig +noall +answer @ns4.linode.com corporate.su ns
corporate.su.       86400   IN  NS  ns5.he.net.
corporate.su.       86400   IN  NS  d.ns.corporate.su.
corporate.su.       86400   IN  NS  d.ns.cns.su.
corporate.su.       86400   IN  NS  ns5.linode.com.
corporate.su.       86400   IN  NS  ns4.linode.com.
corporate.su.       86400   IN  NS  ns4.he.net.
corporate.su.       86400   IN  NS  ns2.linode.com.
corporate.su.       86400   IN  NS  ns2.he.net.
corporate.su.       86400   IN  NS  ns3.he.net.

Você precisa entender que todos esses 9 Servidores de Nomes serão o Authoritative Name Server. Isso significa que eles responderão com a bandeira AA e não farão uma consulta recursiva para corporate.su.

Os cinco servidores de nomes que você incluiu no seu formulário de registrador são os servidores de nomes delegados.

whois corporate.su | grep nserver
nserver:       any.ns.cns.su.
nserver:       d.ns.corporate.su.
nserver:       lon.ns.cns.su.
nserver:       ns2.he.net.
nserver:       ns4.linode.com.

Destes, apenas d.ns.corporate.su exigirá registros de cola na zona pai.

O motivo é que, para resolver qualquer outro servidor de nomes delegado para o seu domínio, o resolvedor não precisa saber como resolver seu domínio. (ou seja, dependências circulares).

Os Servidores de Nome Delegados devem, na verdade, corresponder aos Servidores de Nome Autoritativo. Portanto, você deve verificar sua zona e remover entradas NS que não foram encontradas em seus registradores.

Ou o contrário ... mas de novo ... ter 9 Servidores de nomes de delegados e / ou servidor de nomes autorizados é um exagero.

Resposta aos comentários;

o que acontece quando há incompatibilidades de nome entre as zonas

Se a incompatibilidade for entre dois Authoritative Name Server, então você tem um grande problema ... normalmente, o SOA prevalecerá.

Se o meu resolvedor detectar conflitos, ele enviará a consulta para o SOA (d.ns.cns.su no seu caso).

não fará consulta recursiva para corporate.su "- o que você quer dizer com isso? Por que eles precisariam? eles já são autoritativos e têm todas as informações de zona

Eles não deveriam, esse é exatamente o meu ponto. Se dois deles enviarem informações conflitantes sobre a zona, eles o fazem com a bandeira AA ... Eu devo ter como certo que o que eles me enviam é a informação correta.

Quanto ao registro Glue, no seu caso, ainda não é um problema ... seu domínio NÃO é delegado.

dig @a.dns.ripn.net d.ns.corporate.su

; <<>> DiG 9.8.1-P1 <<>> @a.dns.ripn.net d.ns.corporate.su
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 35421
;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;d.ns.corporate.su.     IN  A

;; AUTHORITY SECTION:
su.         3600    IN  SOA a.dns.ripn.net. hostmaster.ripn.net. 650151100 86400 14400 2592000 3600

;; Query time: 150 msec
;; SERVER: 193.232.128.6#53(193.232.128.6)
;; WHEN: Wed Feb 13 21:30:42 2013
;; MSG SIZE  rcvd: 96

Você deve notar 3 coisas aqui.

1- Essa resposta foi Autoritativa (sinalizador AA) 2- Não ofereceu registros NS na Seção de Autoridade 3- Ainda não há SOA para sua zona

Isso significa que 1- Seu domínio não possui nenhum registro de colagem por enquanto. 2- Nenhum do Authoritative Name Server para corporate.su faz parte do caminho de delegação.

Olhando para a sua pergunta, aqui estão algumas correções;

Por exemplo, se b.dns.ripn.net. da zona pai su. diz que meu corporate.su. é controlado pelo servidor d.ns.corporate.su.

Bem, na verdade não é.

dig @b.dns.ripn.net corporate.su soa

Não SOA, nenhuma delegação é oferecida.

e se d.ns.corporate.su., da zona pai, ainda resolver na zona filho, mas para outro endereço IP?

e se d.ns.corporate.su. nem sequer resolve em meus servidores de autoridade, ao contrário da cola na zona pai?

Sugiro que você leia a resposta que eu forneci exatamente para essa situação em meta.serverfault.com

Mas se o Glue estiver certo e a sua Zona estiver errada ... então você terá problemas para resolver. Se a sua cola está errada, mas a sua zona está certa, não é tão ruim ... nem limpa de jeito nenhum ... mas não tão ruim assim.

E se eu tiver vários desses registros NS na zona pai de meus servidores de domínio que atendem com autoridade todas as consultas relacionadas à minha zona, mas todos ou alguns deles têm algum tipo de incompatibilidade nos nomes de seus registros dentro da zona? zona infantil real que contradiz a zona pai?

Com o DNS, sua SOA é todo-poderosa. Os registros de cola devem corresponder ao que a SOA está resolvendo para o servidor de nomes delegado, e não o contrário.

    
por 14.02.2013 / 03:03