Record SOA e NS primario (DNS)

18

Il peso della domanda è questo: qual è la relazione tra il nameserver primario specificato nel SOArecord e i nameserver specificati nei NSrecord. Come sono collegate queste cose?

Quando eseguo una query sulla maggior parte dei siti Web, ottengo questo:

dhamma@sansa:~$ host -t SOA arth.com
arth.com has SOA record ns1.comcastbusiness.net. domreg-tech.comcastbusiness.net. 2009072715 3600 7200 604800 7200

E mi aspetto di vedere ns1.comcastbusiness.netcome nameserver primario, perché quando eseguo una query sul NSrecord per il dominio ottengo questo:

dhamma@sansa:~$ host -t NS arth.com
arth.com name server ns1.comcastbusiness.net.
arth.com name server ns2.comcastbusiness.net.
arth.com name server ns3.comcastbusiness.net.

Questo mi ha sempre portato a pensare che i SOArecord in qualche modo popolassero automaticamente il NSrecord principale ? È vero anche in remoto?

Perché qui è dove sono più confuso:

dhamma@sansa:~$ host -t SOA paulwarnk.com
paulwarnk.com has SOA record a.dns.hostway.net. hostmaster.siteprotect.com. 2009012319 86400 7200 86400 99999

Ma mi viene detto e usa questi server dei nomi:

dhamma@sansa:~$ host -t NS paulwarnk.com
paulwarnk.com name server adns.cs.siteprotect.com.
paulwarnk.com name server bdns.cs.siteprotect.com.

Perché questo nameserver adns.cs.siteprotect.comnon è elencato come nameserver primario nel SOArecord?

domain-name-system  bind  isp  nslookup  dig 
scraft3613
fonte

Risposte:

14

RFC 1035 dice:

MNAME Il <domain-name> del server dei nomi che era l'origine dei dati originale o primaria per questa zona.

anche se in pratica questo MNAMEcampo SOAè per lo più inutilizzato in questi giorni.

Tuttavia, se si utilizzano gli aggiornamenti dinamici DNS, è necessario fare riferimento al nome del server DNS che deve ricevere i messaggi di aggiornamento dinamico.

Vedi anche questo Internet Draft (scaduto) che parla MNAMEin dettaglio del campo e di come il messaggio UPDATE DNS sia l'unico uso corrente per esso.

Alnitak
fonte
Questo è il motivo. +1 per una risposta breve e leggibile.
womble
questo è un punto eccellente ... specialmente in questi giorni con le zone integrate di Active Directory (che sono cattive, imho). Anche se non importa se si fa affidamento esclusivamente su server MS DNS o meno (non lo facciamo), la SOA deve puntare al controller AD, che con una zona ADI, dovrebbe essere la casella AD più vicina alla richiesta.
Greeblesnort,
2
Questa risposta è confusa.
Briankip,
1
@Alnitak Non sono sicuro di come la tua risposta colleghi i record NS al record SOA ...?
Howiecamp,
1
@Alnitak Potresti voler indicare quel punto nella tua risposta perché a un lettore che non conosce già la risposta, questo fatto non è chiaro dalla tua risposta. Suggerisci semplicemente metti "non sono direttamente correlati" in cima alla tua risposta. Ho fatto la modifica.
Howiecamp,
9

I record del server dei nomi sono specificati nel file della zona. Il record SOA indica il nameserver primario per la zona. Non esiste una relazione automatica tra i due. Ecco una buona lettura per quanto riguarda i record SOA. La risposta breve è che il record SOA è l'intero record che contiene il nome, TTL, ecc ... Inoltre, suggerirei vivamente di prendere il libro O'Reilly DNS & Bind. È davvero molto utile.

I tuoi record oltre i server di root per paulwarnk.com:

paulwarnk.com.      172800  IN  NS  adns.cs.siteprotect.com.
paulwarnk.com.      172800  IN  NS  bdns.cs.siteprotect.com.
;; Received 116 bytes from 192.55.83.30#53(M.GTLD-SERVERS.NET) in 152 ms

paulwarnk.com.      99999   IN  A   69.143.69.166
paulwarnk.com.      99999   IN  NS  adns.cs.siteprotect.com.
paulwarnk.com.      99999   IN  NS  bdns.cs.siteprotect.com.
;; Received 100 bytes from 64.26.28.8#53(adns.cs.siteprotect.com) in 12 ms

Ora, ciò significa che, sui server root, adns e bdns.cs.siteprotect.com sono elencati come autorità per paulwarnk.com. Quindi, su quei server (adns & bdns) c'è un record A per il record root che punta a 69.143.69.166.

Penso che quello che stai chiedendo sia perché i record NS sembrano diversi. La risposta è che i record NS sono stati specificati, probabilmente dal tuo registrar, per puntare ai loro server che sono autorevoli per la zona. Tuttavia, questo output sembrerebbe indicare un problema, poiché il nameserver SOA non sembra rispondere a una richiesta per i tuoi record:

; <<>> DiG 9.2.4 <<>> @a.dns.hostway.net paulwarnk.com
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 37849
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;paulwarnk.com.         IN  A

;; Query time: 10 msec
;; SERVER: 66.113.129.243#53(66.113.129.243)
;; WHEN: Mon Nov 16 23:03:04 2009
;; MSG SIZE  rcvd: 31

modifica: AUTORITÀ: 0 significa che il server a.dns.hostway.net non ha risposto in modo autorevole. Sembra abbastanza ovvio quando c'è la sezione RISPOSTA: 0, ma in realtà è importante distinguere tra una risposta autorevole e una non autorevole. L'autorità, in DNS, indica se il server da cui hai ricevuto la tua risposta può davvero essere attendibile per sapere di cosa sta parlando.

Per quanto riguarda il motivo per cui esiste un server elencato nella SOA, non so di aver mai letto il motivo per cui lo hanno messo lì, ma quel server dovrebbe essere il server principale per la zona, quindi Start of Authority o SOA. Non è sempre il caso, poiché la SOA per tutti i 1400+ dei miei domini elenca un server di query principale nella SOA, ma il vero inizio dell'autorizzazione è su un master nascosto a cui nessuno può accedere.

Greeblesnort
fonte
Grazie mille, questo chiarisce molto. Allora qual è lo scopo di specificare un nameserver primario nella SOA? C'è un motivo per cui dice AUTHORITY 0 nella tua query? Oh, tante domande. Prenderò il libro di O'Reilly.
scraft3613
La tua modifica è sbagliata. Il AAflag viene utilizzato per indicare una risposta autorevole. AUTHORITY: 0significa semplicemente che non ci sono risposte nella "sezione autorità" della risposta.
Alnitak,
Tecnicamente corretto, ma non credo che la mia modifica sia sbagliata nel contesto. Senza una bandiera aa, non stai ottenendo una risposta autorevole. Grazie, però, mi ha fatto rileggere la documentazione =)
Greeblesnort il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.