Comment tester l'enregistrement de la colle DNS?

24

Bonjour Je viens de configurer un serveur DNS pour mon domaine example.org avec 2 serveurs de noms ns1.example.org et ns2.example.org. J'ai tenté de créer un enregistrement de colle pour ns1 et ns2 chez mon registraire.

Cela semble fonctionner pour l'instant lorsque je fais un exemple Dig.org mais quand je fais un exemple whois il répertorie ns1.example.org et ns2.example.org mais pas leur adresse IP qui doit être configurée comme un enregistrement de colle .

Je me demande donc comment vérifier l'existence d'un enregistrement de colle? Dois-je le faire avec whois? J'ai vu des enregistrements whois .com et .net qui ont à la fois le nom de domaine et l'adresse IP des serveurs de noms, est-ce que .org est différent? Quelle est la bonne façon de tester cela?

Merci.


la source

Réponses:

44

Les enregistrements de colle n'existent que dans la zone parent d'un nom de domaine.

Par conséquent, dans le cas de votre example.orgnom de domaine, recherchez d'abord les .orgserveurs de noms:

% dig +short org. NS
a0.org.afilias-nst.info.
a2.org.afilias-nst.info.
b0.org.afilias-nst.org.
b2.org.afilias-nst.org.
c0.org.afilias-nst.info.
d0.org.afilias-nst.org.

Ensuite, pour autant d'entre eux que vous avez envie de tester, demandez explicitement à ces serveurs de noms les NSenregistrements de votre domaine:

% dig +norec @a0.org.afilias-nst.info. example.org. NS

Vous devriez récupérer la liste correcte des NSenregistrements dans la "SECTION RÉPONSE". Pour tous les serveurs de noms qui ont correctement configuré la colle, vous devriez voir ces enregistrements de colle A(et / ou AAAA) apparaître dans la "SECTION ADDITONALE".

Alnitak
la source
Pour mon domaine, la section supplémentaire contient l'enregistrement de colle, mais également plusieurs autres enregistrements NS qui ne font pas partie de la colle que j'ai définie dans le registre. Comment puis-je les distinguer?
Calimo
7

Pour vérifier si un enregistrement GLUE est configuré:

dig +trace @a.root-servers.net ns0.nameserverhere.com

Si le GLUE est configuré, vous devriez voir un enregistrement qui se termine par:

“Recevied XXX bytes from x.GTLD-SERVERS.NET.”

Il existe également des sites qui le feront pour vous tels que http://www.intodns.com/

Coops
la source
Merci, intodns a très bien fonctionné, obtenant toutes les tiques vertes sur la colle et les trucs NS. Je ne reçois pas la commande dig cependant. J'ai reçu un message Reçu. En particulier, j'ai obtenu ceci: "Reçu 433 octets de 192.33.4.12 # 53 (c.root-servers.net) en 183 ms." Mais cela se termine par: "la connexion a expiré; aucun serveur n'a pu être atteint". J'obtiens également des messages similaires lorsque j'utilise un nombre aléatoire pour la partie ns, par exemple ns384289.example.org.
9
ce test de diagnostic de fouille est complètement faux ...
Alnitak
Je sais que c'est vieux mais très utile. J'ai canalisé les résultats dans sed / awk pour comparer la racine contre le serveur de noms pour identifier les enregistrements NS incompatibles.
jeffatrackaid
4

Voici un petit script shell qui implémente la réponse d'Alnitak:

#!/bin/sh
S=${IFS}
IFS=.
for P in $1; do
  TLD=${P}
done
IFS=${S}

echo "TLD: ${TLD}"
DNSLIST=$(dig +short ${TLD}. NS)
for DNS in ${DNSLIST}; do
  echo "Checking ${DNS}"
  dig +norec +nocomments +noquestion +nostats +nocmd @${DNS} $1 NS
done

Passez le nom du domaine en paramètre:

./checkgluerecords.sh example.org
Adrian W
la source
3

dig +traceest généralement le moyen le plus simple d'inspecter la chaîne des délégations. Toutefois, les enregistrements de collage se trouvent dans la section supplémentaire et, par défaut, la sortie de trace n'inclut pas la section supplémentaire. Vous devrez spécifier explicitement que vous souhaitez que cela soit inclus dans la sortie.

dig +trace +additional example.com


Si l'idée est de vérifier l'intégrité de la chaîne de délégation, vous souhaiterez probablement également voir les NSenregistrements faisant autorité, dans ce cas:

dig +trace +additional example.com NS
Håkan Lindqvist
la source
0

Vous pouvez également utiliser whois, lorsque le registre le prend en charge, pour vérifier directement l'existence de colle pour un serveur de noms donné. Par exemple, pour vérifier l'un des serveurs de noms de serverfault.com:

whois ns-860.awsdns-43.net.

Pour une réponse plus concise:

whois ns-860.awsdns-43.net. | grep "No match\|IP" | xargs

Remarque: Cela fonctionnera certainement pour les serveurs de noms dans l'espace de noms .net et .com, mais probablement pas pour la plupart des autres registres.

user3166580
la source
1
whois n'est vraiment pas le bon outil pour rechercher l'existence de colle. digest plus approprié.
sendmoreinfo
Je ne suis pas d'accord: vous pouvez vérifier directement l'existence de colle avec whois (c'est-à-dire sans avoir besoin d'un domaine qui a été délégué à ce serveur de noms), mais maintenant que j'ai vérifié ce n'est pas le cas avec .org TLD. Ma réponse est correcte pour .net / .com, mais ce n'est pas ce que la question d'origine était, donc je suppose que ce n'est pas une bonne réponse à cette question.
user3166580
Je pense également que le point clé du message d'origine est que, si la colle n'existait pas dans la zone parent de l'organisation, vous n'auriez pas pu déléguer le domaine aux serveurs de noms. c'est-à-dire parce que vous ne pouvez pas avoir de serveurs de noms sans colle dans le bailliage.
user3166580
Votre réponse est correcte pour aucun des TLD. whoisn'a rien à voir avec le DNS opérationnel et n'est pas l'outil à utiliser pour voir les colles. Vous pouvez utiliser whois pour rechercher des serveurs de noms existants dans les registres, mais le fait que le serveur de noms soit stocké dans un objet ici ne signifie pas qu'il est utilisé par le domaine dans lequel il se trouve. C'est le seul cas où il doit être publié en tant que la colle.
Patrick Mevzek