Che cos'è la delega DNS?


22

In una risposta alla mia domanda precedente ho notato queste righe:

Normalmente è quest'ultima fase della delega che viene interrotta con la maggior parte delle configurazioni dell'utente domestico. Hanno superato il processo di acquisto di un dominio con un registrar / fornitore di servizi, ma non sono riusciti a configurare il dominio in modo che punti la delega ai propri server dei nomi. In realtà devi dire al registrar dove sono i tuoi nameserver prima che possano mettere in atto i record di colla per far funzionare il tuo passo della delegazione.

Che cos'è una delegazione DNS? Come funziona? Una spiegazione completa per l'ipotetico dominio abc.comsarebbe utile.

Risposte:


24

In termini fisici, la delega è molto simile a come un manager delegherà la responsabilità dei compiti al proprio personale. I risultati sono gli stessi, tuttavia più di una persona è stata coinvolta nel processo. Il manager riceve la richiesta di lavoro, passa la responsabilità a un altro membro del personale e il membro del personale o il manager ritorna con i risultati del lavoro. Tutto questo a condizione che il lavoro svolto dallo staff sia effettivamente corretto ed è ciò che il richiedente originale ha richiesto (o che il richiedente ha effettivamente richiesto qualcosa che fosse valido in primo luogo!).

Con la delega DNS, è abbastanza simile. Quando ai comserver dei nomi viene chiesto il posto dove trovare l'autorità della zona example.com, spesso delegano questo lavoro a server dei nomi separati (in realtà nella stragrande maggioranza dei casi, in realtà delegano la risposta ad altri server dei nomi). Quando registri per la prima volta un dominio, ad esempio il nostro example.comdominio, ciò viene spesso eseguito tramite una terza parte denominata registrar. È prassi comune dei registrar inserire i propri server dei nomi per la delegazione e servire una zona predefinita da tali server dei nomi. Questa zona di default include i requisiti di base per servire quella zona su internet (i SOA, NSe Arecord associati a quei record NS).

Ovviamente se tu stesso vuoi prendere il controllo dell'autorità del dominio, devi invece chiedere al registrar di delegare il dominio al tuo nameserver. Diversi registrar si riferiscono a questo processo in vari modi, "cambia server dei nomi", "usa DNS di terze parti", "Aggiungi record di colla" e così via. Il meccanismo sottostante rimane lo stesso. Fornisci, in genere, 2 o più "nomi dei server dei nomi" (ad esempio ns0.example.come ns1.example.com) e gli indirizzi IP a cui ns0e ns1sono. Quindi elaborano la richiesta e la delega viene indirizzata dal proprio registrar ai server dei nomi forniti.

In termini tecnici, è a questo punto che devi assicurarti che i tuoi nameserver siano attivi e funzionanti, servendo il dominio example.com, con un minimo di SOA(record di inizio autorità), 1 o più NSrecord e i Arecord (gli IP) che questi record NS sono risolti da:

example.com.   IN SOA ns0.example.com. hostmaster.example.com. ( 10 3600 900 604800 7200 )
           IN NS  ns0.example.com.
           IN NS  ns1.example.com.
ns0        IN A   192.0.2.8
ns1        IN A   192.0.2.44

(Ho scelto alcuni valori arbitrari condivisi per i valori SOA, i nomi per i record NS e gli IP a cui risolvono i nameserver). Questi dovranno tutti riflettere la zona per cui stai servendo.

Questo servizio DNS deve essere visibile da qualsiasi parte di Internet e non essere protetto da firewall (è necessario consentire la porta 53 udp e tcp inbound). Inoltre, il tuo fornitore di servizi non deve bloccare nemmeno quella porta (che alcuni fornitori bloccano il traffico in entrata destinato a quelle porte).

Dato il mio confronto originale, i comserver dei nomi sono i gestori di DNS, che stanno delegando la zona example.comai server dei nomi (i membri dello staff) per fare il lavoro di fornire le informazioni di zona di base ( SOA, NS, A). Puoi anche servire qualsiasi record aggiuntivo come i record del server di posta MXo può essere un Arecord per il tuo www.example.comindirizzo.

Se quel server dei nomi non esegue il lavoro, restituisce risultati errati o presenta un blocco di terze parti (firewall / ISP) che blocca il lavoro, non si avrà DNS funzionante e la delega si interrompe.

Potrebbe anche essere la pena di notare che il dominio non deve essere delegata al server dei nomi nello stesso dominio, in modo ns0.example.nete ns0.example.orgpotrebbe essere sia valida nameserver che avrebbero potuto example.comdelegato a loro. A condizione che entrambi i server dei nomi offrissero il example.comdominio.


grazie @Dav Sloan, per aver spiegato in un linguaggio così semplice
Nishan il

2
+1. Aggiungo anche che nell'ultimo caso, in cui il nameserver non fa parte dello stesso dominio, non è necessario un record "colla", solo un semplice record ns nel registrar / gTLD. Questo spesso confonde le persone.
GnP,

+1 sulla risposta! La colla @GnP è necessaria solo in presenza di una dipendenza circolare. Da quando il nameserver non fa parte dello stesso dominio, non esiste alcuna dipendenza circolare ed è per questo che non è necessaria la colla? Questa conclusione è giusta?
Crazy Psychild,

5

La delega in termini di DNS significa che il nameserver nella gerarchia sopra di te risponderà ad ogni richiesta al tuo dominio con una NSrisposta.

Quindi, nel caso in cui abc.comlo faresti:

$ dig com.
=>
com.        896 IN  SOA a.gtld-servers.net.  ...

Quindi interrogare quel nameserver appositamente per abc.com:

$ dig abc.com @a.gtld-servers.net.
=>
;; AUTHORITY SECTION:
abc.com.    172800  IN  NS  sens01.dig.com.
abc.com.    172800  IN  NS  sens02.dig.com.
abc.com.    172800  IN  NS  orns01.dig.com.
abc.com.    172800  IN  NS  orns02.dig.com.

I record di colla indicano che oltre ai nomi host dei tuoi nameserver, l' .comautorità conosce anche i loro indirizzi IP.

Se vengono impostati i record di colla, la query sopra ti darà ancheA/AAAA risposte per ciascuno dei nameserver.


5

All'interno del tuo dominio puoi definire host come preferisci, per esempio mymailserver. Per connettermi al tuo server di posta, devo usare il DNS per determinare i suoi indirizzi IP e a tal fine devo sapere dove dovrei cercare nella struttura dei nomi mymailserver.

Sembra complicato, ma è esattamente per questo che utilizziamo il "nome di dominio completo" (FQDN). Se si definisce un host mymailservernel proprio dominio, abc.com.tale host ha il nome di dominio completo mymailserver.abc.com.. Con queste informazioni posso risolvere quel nome con l'indirizzo IP corretto.

Non è necessario creare tutti gli host del modulo <hostname>.abc.com., è possibile anche ramificarsi come desiderato. Puoi avere servers.abc.com.e mettere tutti i tuoi server lì, per esempio mymailserver.servers.abc.com.. Puoi farlo, perché il dominio ti è abc.com.stato delegato . Ciò significa che sei l'autorità per chiedere qualsiasi dominio e nome di dominio che termina abc.com.. Pertanto è possibile definire host e rami secondari in base al contenuto del proprio cuore.

Delega significa che un proprietario di dominio fornisce il controllo completo su un ramo a qualcun altro. Proprio come il proprietario del com.delegato del abc.com.sottodominio, ad esempio, puoi diramare i sottodomini def.abc.com.e delegarmelo. All'interno del mio dominio posso fare / definire quello che voglio / mi piace senza dover chiedere o dire a te o anche ai com.proprietari.

Come funziona? Inserisci semplicemente una parte delle informazioni nei tuoi record DNS che dice "per informazioni in merito def.abc.com, chiedi al server DNS hisdnsserver.def.abc.com.". Naturalmente, per interrogare quel server è necessario conoscere l'indirizzo IP di hisdnsserver.def.abc.com.. Ecco a cosa servono i record di colla. In realtà hai inserito 2 informazioni, una delle quali è stata appena dichiarata e l'altra è l'indirizzo IP di hisdnsserver.def.abc.com.. In questo modo fornisci a chiunque una domanda def.abc.com.con informazioni sufficienti per indirizzarle all'autorità per quel sottodominio.

Perché i programmi ti hanno chiesto def.abc.com.in primo luogo? Perché tu sei l'autorità per abc.com.e l'autorità per hai com.dato al richiedente due informazioni su yourdnsservere abc.com....


+1 per il finale "." nel nome di dominio completo. che viene erroneamente spesso omesso.
nass
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.