#dns #nameservers
#dns #серверы имен
Вопрос:
Предполагается, что Route 53 является авторитетным сервером имен в соответствии с документами AWS. Если example.com это домен, который я купил, и у меня есть www.example.com указывая на IP 192.0.2.4, затем, Top Level Dна главном сервере имен(NS для «.com») сохраняет сопоставление между приоритетным N сервером имен (ANS) для доменаexample.com и домен example.com как показано ниже:
example.com . 172800 В NS ns1.awsdns.com
Итак, это запись NS, и эта запись NS находится на сервере имен ДВУ для «.com». Правильно ли я понимаю? Если да, то почему я также вижу ту же запись в консоли Route 53? Предполагается, что маршрут 53 является авторитетным сервером имен. Почему авторитетному серверу имен необходимо хранить указатели наexample.com домен обслуживается сам по себе? Не факт, что ANS для доменаexample.com является ns1.awsdns.com , должно быть известно NS домена .com, а не самому Route53?
Кроме того, где будет находиться запись SOA? Будет ли он находиться в самом ANS? Ниже приведена запись SOA:
ns1.awsdns.com admin.awsdns.com 2013022001 86400 7200 604800 300
Это имеет:
-
Основной сервер имен для домена:ns1.awsdns.com
-
Ответственная сторона за домен:admin.awsdns.com
-
временная метка, которая меняется при обновлении вашего домена: 2013022001
-
Количество секунд до обновления зоны: 86400
-
Количество секунд до неудачного обновления должно быть повторено: 7200
-
Верхний предел в секундах до того, как зона больше не считается авторитетной: 604800
-
Отрицательный результат TTL: 300
Если эта запись SOA находится в самом ANS, то есть вns1.awsdns.com сама машина, тогда в чем смысл этой записи SOA, сообщающей ANS ns1.awsdns.com это ns1.awsdns.com является основным сервером имен?
Может ли кто-нибудь устранить здесь путаницу? Я совершенно сбит с толку.
Ответ №1:
Почему авторитетному серверу имен необходимо хранить указатели о example.com домен обслуживается сам по себе?
Ваш вопрос не относится ни к Amazon, ни к определенному TLD, ни к позиции TLD в дереве DNS, нижеприведенное применимо везде в DNS.
Данный сервер имен (фактически набор серверов имен) является авторитетным в зоне. Следовательно, он содержит полное содержимое зоны, которое включает в себя SOA и NS записи зоны. Он является авторитетным по отношению к нему.
Но для разрешения зоны ее родительский сервер должен знать набор серверов имен, и, следовательно, этот набор публикуется на родительском сервере.
Итак, у вас есть одна информация в двух местах, но дочерний элемент является авторитетным в этом. Может случиться так, что оба были десинхронизированы, это называется неудачным делегированием. Но ожидается, что распознаватели будут верить дочерней версии содержимого, а не родительской.
В RFC1034 у вас есть это:
Хотя логически они являются частью авторитетных данных, RR, описывающие верхний узел зоны, особенно важны для управления зоной. Эти RR бывают двух типов: RR сервера имен, в которых перечислены, по одному на RR, все серверы для зоны, и один RR SOA, который описывает параметры управления зоной.
и о разделении, и какая сторона является авторитетной:
RR, которые описывают разрезы в нижней части зоны, — это NS RR, которые называют серверы для подзон. Поскольку разрезы находятся между узлами, эти RR НЕ являются частью достоверных данных зоны и должны быть точно такими же, как соответствующие RR в верхнем узле подзоны. Поскольку серверы имен всегда связаны с границами зоны, NS RRS находятся только на узлах, которые являются верхним узлом некоторой зоны. В данных, составляющих зону, NS RR находятся в верхнем узле зоны (и являются авторитетными) и в разрезах вокруг нижней части зоны (где они не являются авторитетными), но никогда между ними.
Документ по терминологии DNS (RFC 8499) также пытается уменьшить путаницу:
Достоверные данные: «Все RR, подключенные ко всем узлам от верхнего узла зоны до конечных узлов или узлов выше, проходят по нижнему краю зоны». (Цитируется по [RFC1034], раздел 4.2.1) Обратите внимание, что это определение может непреднамеренно также привести к включению любых записей NS, которые появляются в зоне, даже тех, которые могут не быть действительно авторитетными, потому что есть идентичные записи NS RR ниже границы зоны. Это показывает двусмысленность понятия авторитетных данных, поскольку записи NS на родительской стороне авторитетно указывают на делегирование, даже если они сами не являются авторитетными данными.
Что касается
какой смысл в этой записи SOA сообщать ANS ns1.awsdns.com это ns1.awsdns.com является ли сервер имен основным?
это еще одна проблема.
Сервер имен, указанный в записи SOA и считающийся основным, фактически не имеет отношения к операциям, за исключением случая динамических обновлений. Ожидается, что при наличии динамических обновлений DNS клиенты будут отправлять свои пакеты на этот хост, если они хотят что-то обновить в зоне, описанной этой записью SOA. Но помимо этого, название здесь имеет небольшое значение. Это может быть даже недоступно.
Сравните, например, SOA fr. и NS fr. : вы увидите, что основной сервер имен, указанный в записи SOA, даже не входит в набор авторитетных серверов имен для зоны.
В документе по терминологии DNS говорится следующее:
Первичный мастер: «Первичный мастер указан в поле SOA MNAME зоны и, необязательно, с помощью NS RR». (Цитируется из [RFC1996],
раздел 2.1) [RFC2136] определяет «первичный мастер» как «Главный сервер в корне графика зависимостей AXFR / IXFR. Имя основного мастера указывается в поле SOA MNAME зоны и, необязательно, с помощью NS RR.
По определению существует только один основной главный сервер для каждой зоны.»Идея основного мастера используется только в [RFC1996] и [RFC2136]. Современная интерпретация термина «первичный мастер» — это сервер, который одновременно является авторитетным для зоны и который получает свои обновления в зону из конфигурации (например, из основного файла) или из транзакций ОБНОВЛЕНИЯ.
Что не полностью отражает реальность, потому что, если вы попытаетесь связаться с сервером имен, указанным в fr. SOA записи, вы не получите никакого ответа, поскольку имя в любом случае не разрешается публично (обычно это называется настройкой «скрытого мастера»).
Комментарии:
1. Да, родителем
example.comявляетсяcom, потому что есть zonecut (делегирование). Таким образом, у вас будут записи NS дляexample.comкак наcomавторитетных серверах имен, так и наexample.comавторитетных серверах имен. 2 пятна. Что касается SOA, см. Мою правку, это исключительно на дочерней стороне.2. Я верну свой вопрос, чтобы сохранить непрерывность… Я вытащил свой вопрос, чтобы прочитать ваши правки…
3. «Данный сервер имен (фактически набор серверов имен) является авторитетным в зоне» — вы имеете в виду, что существуют ns1.awsdns.com , ns2.awsdns.com и т. д.? ………..» Но для разрешения зоны ее родительский сервер должен знать набор серверов имен, и, следовательно, этот набор публикуется на родительском сервере.» — Что это за родительский сервер? NS домена TLD для «.com» в этом примере?………..» Итак, у вас есть одна информация в двух местах, но дочерний элемент является авторитетным в этом.» — Что это за два места? Извините, мои вопросы все еще остаются без ответа; Где хранится запись SOA? И где остается запись NS в моем примере?
4. Итак, это то, что я понял из вашего сообщения: записи NS присутствуют в ANS для «example.com » а также TLD-NS для «.com». TLD-NS, который является родительским, должен знать, какие ANS могут предоставлять информацию о example.com в этом помогают записи NS. Точно такие же записи NS также находятся в ANS (дочернем) для «example.com » которые могут служить для предоставления более обновленной информации об основном сервере имен и т. Д. Что касается записей SOA, они присутствуют только в дочернем элементе, который является ANS для example.com . Правильно ли я понимаю?
5. Да, ваше понимание верно. Придирка: «которая может служить для предоставления более обновленной информации об основном сервере имен» Я бы сказал (и попытался сказать в моем anserver), что оба набора должны совпадать, если они этого не делают, это называется неубедительным делегированием, и это проблема, которая должна быть исправлена, но если есть несоответствие, версия на дочернем сервере обычно является авторитетной. Набор NS дочернего элемента, опубликованный на родительском сервере, существует только для того, чтобы включить делегирование, чтобы один из запрашивающих
comсерверов имен узнал, что есть отключение зоны, потому чтоexample.comесть другие серверы имен.