web-dev-qa-db-fra.com

Quel est le rôle de NS enregistrements au sommet d'un domaine DNS?

$Origin example.com. ; not necessary, using this to self-document

$TTL 3600
@        IN     SOA   ns1.example.com. admin.example.com. (
                      1970010100 7200 1800 1209600 300)

@        IN     NS   ns1.example.com.
@        IN     NS   ns2.example.com.

@        IN     A    198.51.100.1
ns1      IN     A    198.51.100.2
ns2      IN     A    198.51.100.3

sub1     IN     NS   ns1.example.edu.

sub2     IN     NS   ns1.sub2
ns1.sub2 IN     A    203.0.113.1 ; inline glue record

Le rôle d'un NS enregistrement dessous Le sommet d'un domaine est bien compris; Ils existent pour déléguer l'autorité pour un sous-domaine à un autre serveur de noms. Des exemples de ceci ci-dessus incluraient les enregistrements NS enregistrements pour sub1 Et sub2. Celles-ci permettent au nom de nomage de distribuer des références pour des portions du domaine qu'il ne fait pas se considérer comme faisant autorité pour.

Le but du NS enregistre au sommet d'un domaine, ns1 Et ns2 Dans ce cas, semble être moins compris par Internet en général. Ma compréhension (qui pourrait ne pas être holistique) est la suivante:

  1. Ils ne sont pas utilisés par la mise en cache des serveurs DNS afin de déterminer les serveurs faisant autorité pour le domaine. Ceci est géré par colle de noms de noms , qui est défini au niveau du registraire. Le registraire jamais Utilise ces informations pour générer les enregistrements de colle.
  2. Ils ne sont pas utilisés pour déléguer l'autorité pour l'ensemble du domaine à d'autres noms de noms. Essayer de le faire avec des logiciels tels que la liaison ISC n'entraînera pas du tout le comportement de référence "attendu", car le serveur de noms continuera de se considérer comme faisant autorité pour la zone.
  3. Ils ne sont pas utilisés par le serveur de noms pour déterminer si elle devrait renvoyer des réponses faisant autorité (AA jeu de drapeau) ou non; Ce comportement est défini par si le logiciel est dit d'être un maître ou un esclave pour la zone. La plupart des logiciels de nomserver serviront très heureusement servir Apex NS enregistrements qui ne sont pas d'accord avec les informations contenues par les enregistrements de colle en amont, ce qui entraînera à son tour des sites Web de validation de DNS bien connus pour générer des avertissements pour le domaine.

Avec cela étant le cas, à quoi servent-nous? Pourquoi définissons-nous ces informations s'il ne semble pas être consommé en mettant en cache des serveurs DNS sur Internet?

domain-name-systemns-recordglue-record
21
Andrew B

Identification subordonnée

APEX NIVEL NS enregistrements sont utilisés par un serveur maître pour identifier ses subordonnés. Lorsque des données sur un serveur de noms faisant autorité changent, elle annoncera ceci via DNS NOTIFY Messages ( RFC 1996 ) à tous ses pairs sur cette liste. Ces serveurs rappelleront à son tour une demande de l'enregistrement SOA (qui contient le numéro de série) et de décider de supprimer une copie plus récente de cette zone.

  • Il est possible d'envoyer ces messages aux serveurs non répertoriés dans la section NS, mais cela nécessite des directives de configuration spécifiques au serveur (telles que l'ISC Bind's also-notify directive). L'APEX NS enregistrements comprend la liste de base des serveurs à notifier sous une configuration par défaut.
  • Il convient de noter que les serveurs secondaires enverront également des messages de notification à l'autre en fonction de ces enregistrements NS, entraînant généralement des refus connectés. Cela peut être désactivé par des serveurs instructrices à envoyer uniquement des notifications pour les zones, elles sont maîtres pour (Bind: notify master;), ou à sauter NS basé notifie entièrement en faveur des notifications définies explicitement dans la configuration. (LIER: notify explicit;)

Définition faisant autorité

La question ci-dessus contenait une erreur:

Ils ne sont pas utilisés par la mise en cache des serveurs DNS afin de déterminer les serveurs faisant autorité pour le domaine. Ceci est manipulé par colle de noms de noms, qui est défini au niveau du greffier. Le registraire n'utilise jamais ces informations pour générer les enregistrements de colle.

C'est une conclusion facile pour arriver, mais pas exacte. Les données NS enregistrements et dossiers d'enregistrement de colle (tels que ceux définis dans votre compte d'enregistrement) ne sont pas autorisés. Il s'agit de raisonner qu'ils ne peuvent pas être considérés comme "plus faisant autorité" que les données résidant sur les serveurs que l'autorité est déléguée. Ceci est souligné par le fait que les références ne disposent pas de l'ensemble de drapeaux aa (réponse faisant autorité).

Pour illustrer:

$ Dig @a.gtld-servers.net +norecurse +nocmd example.com. NS
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14021
;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 5

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;example.com.                   IN      NS

;; AUTHORITY SECTION:
example.com.            172800  IN      NS      a.iana-servers.net.
example.com.            172800  IN      NS      b.iana-servers.net.

;; ADDITIONAL SECTION:
a.iana-servers.net.     172800  IN      A       199.43.135.53
a.iana-servers.net.     172800  IN      AAAA    2001:500:8f::53
b.iana-servers.net.     172800  IN      A       199.43.133.53
b.iana-servers.net.     172800  IN      AAAA    2001:500:8d::53

Notez le manque de aa dans les drapeaux de la réponse ci-dessus. La référence elle-même n'est pas faisant autorité. D'autre part, les données sur le serveur en cours de référence IS Autoritatif.

$ Dig @a.iana-servers.net +norecurse +nocmd example.com. NS
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2349
;; flags: qr aa; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;example.com.                   IN      NS

;; ANSWER SECTION:
example.com.            86400   IN      NS      a.iana-servers.net.
example.com.            86400   IN      NS      b.iana-servers.net.

Cela dit, cette relation peut devenir très déroutante car il n'est pas possible d'apprendre sur les versions faisant autorité de ces enregistrements NS sans les enregistrements non autoritatifs NS définis sur le côté parent de la référence. Que se passe-t-il s'ils ne sont pas d'accord?

  • La réponse courte est "comportement incohérent".
  • La réponse longue est que les serveurs de noms auront initialement tout coupé de la référence (et de la colle) sur un cache vide, mais ces NS, A et AAAA enregistrements peuvent éventuellement être remplacé quand ils sont rafraîchis. Les actualisations se produisent à mesure que les TTLS sur ces dossiers temporaires expirent ou quand une personne demande explicitement la réponse à ces enregistrements. [.____]
    • A et AAAA enregistrements de données hors zone (c'est-à-dire les noms de noms com définissant la colle pour des données en dehors de la zone com, comme example.net) finira certainement à être rafraîchi, car il s'agit d'un concept bien compris qu'un serveur de noms ne doit pas être considéré comme une source faisant autorité de ces informations. (RFC 2181)
    • Lorsque des valeurs des enregistrements NS diffèrent entre les côtés parent et enfant de la référence (telles que les serveurs de noms de noms de noms d'enregistrement dans le panneau de configuration du registraire différant des enregistrements NS qui vivent sur ces mêmes serveurs), Les comportements expérimentés seront incohérents, jusqu'à ce que l'enfant NS enregistrements ignorés complètement. En effet, le comportement n'est pas bien défini par les normes et la mise en œuvre varie entre différentes implémentations de serveur récursives. En d'autres termes, Les comportements cohérents sur Internet ne peuvent être attendus que si les définitions de serveur de noms d'un domaine sont cohérentes entre les côtés parent et enfant d'une référence .

Les serveurs DNS récursifs sont longs et peu importants que les serveurs DNS réinsibles sur Internet vont rebondir entre des destinations si les enregistrements définis sur le côté parent de la référence ne sont pas d'accord avec les versions faisant autorité de ces enregistrements. Initialement, les données présentes dans la référence seront préférées, uniquement pour être remplacées par les définitions faisant autorité. Étant donné que les caches sont constamment reconstruits à partir de zéro sur Internet, il est impossible d'installer Internet sur une seule version de la réalité avec cette configuration. Si les enregistrements faisant autorité font quelque chose d'illégal selon les normes, telles que le pointage NS enregistrements dans des alias définis par un CNAME, cela devient encore plus difficile à résoudre; Le domaine va alterner entre le travail et le brisé pour les logiciels qui rejette la violation. (c'est-à-dire iss lié/nommé)

RFC 2181 §5.4.1 Fournit un tableau de classement pour la fiabilité de ces données et le rend explicit que les données de cache associées aux renvois et à la colle ne peuvent pas être renvoyées comme une réponse à une demande explicite pour les enregistrements qu'ils faire référence à.

5.4.1. Ranking data

   When considering whether to accept an RRSet in a reply, or retain an
   RRSet already in its cache instead, a server should consider the
   relative likely trustworthiness of the various data.  An
   authoritative answer from a reply should replace cached data that had
   been obtained from additional information in an earlier reply.
   However additional information from a reply will be ignored if the
   cache contains data from an authoritative answer or a zone file.

   The accuracy of data available is assumed from its source.
   Trustworthiness shall be, in order from most to least:

     + Data from a primary zone file, other than glue data,
     + Data from a zone transfer, other than glue,
     + The authoritative data included in the answer section of an
       authoritative reply.
     + Data from the authority section of an authoritative answer,
     + Glue from a primary zone, or glue from a zone transfer,
     + Data from the answer section of a non-authoritative answer, and
       non-authoritative data from the answer section of authoritative
       answers,
     + Additional information from an authoritative answer,
       Data from the authority section of a non-authoritative answer,
       Additional information from non-authoritative answers.

   <snip>

   Unauthenticated RRs received and cached from the least trustworthy of
   those groupings, that is data from the additional data section, and
   data from the authority section of a non-authoritative answer, should
   not be cached in such a way that they would ever be returned as
   answers to a received query.  They may be returned as additional
   information where appropriate.  Ignoring this would allow the
   trustworthiness of relatively untrustworthy data to be increased
   without cause or excuse.
21
Andrew B

The NS enregistre la zone déléguée fournit une exhaustivité de la définition de domaine. Les NS serveurs eux-mêmes s'appuient sur le fichier de zone. Ils ne sont pas censés essayer de trouver eux-mêmes en faisant une requête récursive des serveurs racines. Le NS enregistrements dans le fichier de zone fournit un certain nombre d'autres fonctions.

Les serveurs de mise en cache peuvent actualiser la liste des serveurs de noms en interrogeant un serveur de noms à partir de son cache. Tant qu'un serveur de mise en cache connaît l'adresse d'un serveur de noms, elle utilisera plutôt que de rechercher de manière récursive un enregistrement approprié NS enregistrement.

Lorsque vous déplacez des serveurs de noms, il est important de mettre à jour les serveurs d'anciens noms ainsi que les nouveaux serveurs de noms. Cela prévenir les pannes ou les incohérences qui en résulteront lorsque les deux définitions de la zone sont synchronisées. Les enregistrements mis à jour seront éventuellement rafraîchis par des serveurs mis en cache le NS enregistrements. Cela remplacera la liste mise en cache des serveurs de noms.

Les NS Documents aident également à confirmer l'exactitude de la configuration DNS. Le logiciel de validation vérifiera souvent que les définitions de serveur de noms de la zone de délégation correspondent à celles fournies par la zone. Cette vérification peut être effectuée sur tous les serveurs de noms. . Toute désactivation peut indiquer une mauvaise configuration.

Ayant le NS enregistrements permet des zones déconnectées (locales). Ceux-ci peuvent être des sous-domaines d'un domaine enregistré ou un domaine entièrement nouveau (non recommandé en raison de modifications du TLD). Les hôtes qui utilisent le Les serveurs de noms comme leur serveur de noms pourront trouver les zones qui ne sont pas accessibles en recouvrant les serveurs racines. D'autres serveurs de noms peuvent être configurés pour rechercher les serveurs de noms pour les zones locales.

Dans le cas de DNS divisés (interne/externe), il peut être souhaitable d'avoir un ensemble différent de serveurs DNS. Dans ce cas, la NS Liste (et probablement d'autres données) sera différente, et les enregistrements NS enregistrements dans les fichiers de zone indiqueront la liste des serveurs de noms appropriés.

3
BillThor