Como os servidores DNS respondem aos registros de cola ausentes?

Question

Como os servidores DNS respondem aos registros de cola ausentes?

#1 resposta do (0 votos)

1

Atualmente estou fazendo um benchmarking no serviço DNS no meu local de trabalho. Uma das maiores anomalias que isso está causando é um número significativo de domínios em que, em alguns casos, a pesquisa está retornando uma resposta NXDOMAIN, enquanto que em outros, estou obtendo uma resposta válida para uma consulta MX.

(os domínios em questão são externos)

Embora seja possível que isso se deva a uma diferença na configuração entre um par de servidores autoritativos, percebi que não sei qual resposta esperar quando tento resolver um domínio sem registros de cola. (links para fontes autorizadas seriam apreciados).

domain-name-system

por symcbean 21.06.2016 / 11:15

1 resposta

Tags domain-name-system

Grupos de usuários sem o Active Directory Login de alta disponibilidade do host da sessão da área de trabalho remota do Windows

score 0 · Accepted Answer

A rigor, cola só é necessária em um cenário: servidores de nomes que caem dentro de um corte de zona definido pela mesma zona. RFC 1034 §4.2.1 torna isso explícito, ênfase minha:

One of the goals of the zone structure is that any zone have all the data required to set up communications with the name servers for any subzones. That is, parent zones have all the information needed to access servers for their children zones. The NS RRs that name the servers for subzones are often not enough for this task since they name the servers, but do not give their addresses. In particular, if the name of the name server is itself in the subzone, we could be faced with the situation where the NS RRs tell us that in order to learn a name server's address, we should contact the server using the address we wish to learn. To fix this problem, a zone contains "glue" RRs which are not part of the authoritative data, and are address RRs for the servers. These RRs are only necessary if the name server's name is "below" the cut, and are only used as part of a referral response.

A ideia de que a cola é "necessária" no nível de registro / registrador é uma falácia generalizada, em grande parte emergente dos dias em que havia poucos poucos gGTLDs para escolher. Como o número de TLDs para escolher aumentou constantemente ao longo dos anos, está se tornando cada vez mais comum encontrar referências de TLDs sem glúten. Tome goo.gl por exemplo:

$ dig @d.nic.gl +noall +authority +additional goo.gl
goo.gl.                 86400   IN      NS      ns4.google.com.
goo.gl.                 86400   IN      NS      ns3.google.com.
goo.gl.                 86400   IN      NS      ns1.google.com.
goo.gl.                 86400   IN      NS      ns2.google.com.

Observe a notável falta de dados ADICIONAIS aqui. gl não precisa fornecer cola para nada dentro de com . Quando esse cenário é encontrado, é necessário recorrer pelo com TLD para obter o endereço IP de um desses servidores de nomes. Qualquer cola encontrada ao longo do caminho será seguida normalmente. Eu não vou citar RFC 1034 §4.3.2 aqui, pois é um pouco bobo para reafirmar a operação básica fundamentos.

Em suma, a cola é obrigatória somente quando os padrões ou a política de registradores (ou registros) específicos assim o exigirem. A última exigência não é necessariamente uma indicação do primeiro. Nos casos em que uma delegação sem glueless dos DPNs é encontrada, é simplesmente um negócio comum.

Se a cola estiver faltando em um cenário em que ela é necessária (sua dúvida real é suspeita) e nenhum outro servidor de nomes estava disponível para fornecer a resposta autoritativa , isso seria um caso claro de SERVFAIL . NXDOMAIN implicaria que um servidor autoritativo poderia ser alcançado, o que não é o caso aqui. O servidor que define o corte de zona não é autoritativo para dados abaixo do recorte ( RFC 2181 § 6.1 ), e uma incapacidade de alcançar os servidores autoritativos significa que você chegou a um beco sem saída.