Qu'est-ce qu'un disque de colle?

Réponses:

130

Un enregistrement collé est un terme désignant un enregistrement servi par un serveur DNS qui ne fait pas autorité pour la zone, afin d'éviter une condition de dépendances impossibles pour une zone DNS.

Dites que je possède une zone DNS pour example.com. Je veux avoir des serveurs DNS that're hébergeant la zone faisant autorité pour ce domaine afin que je puisse réellement utiliser - ajout d' enregistrements pour la racine du domaine, www, mail, etc. Donc, je mets les serveurs de noms dans l'enregistrement de déléguer eux - ce sont toujours des noms, donc nous allons mettre ns1.example.comet ns2.example.com.

Voilà le truc. Les serveurs du TLD délégueront aux serveurs DNS de l'enregistrement whois - mais ils se trouvent à l'intérieur example.com. Ils essaient de trouver ns1.example.com, demandez aux .comserveurs, et se renvoyé à ... ns1.example.com.

Les enregistrements collés permettent aux serveurs du TLD d'envoyer des informations supplémentaires dans leur réponse à la requête de la example.comzone, ainsi que l'adresse IP configurée pour les serveurs de noms. Cela ne fait pas autorité, mais c'est un pointeur sur les serveurs faisant autorité, permettant de résoudre la boucle.

Shane Madden
la source
58

J'ai demandé que cette réponse soit issue d'une question en double, car les réponses existantes n'expliquaient pas le rôle de la ADDITIONALsection.

Pour voir comment cela fonctionne, tapez ceci: dig +trace +additional google.com SOA

Cela permettra de suivre l’autorité du serveur de noms à partir des serveurs racine ( +trace). L'ajout +additionalvous montrera également la ADDITIONALsection de chaque réponse du serveur DNS. Normalement, la plupart des gens pensent au DNS en termes de QUESTIONet des ANSWERsections, mais ADDITIONALjoue également un rôle important: si le serveur de noms connaît les réponses aux requêtes liées à la réponse, il peut fournir ces réponses de manière préemptive dans la ADDITIONALsection sans exiger questions supplémentaires de votre client.

Notez que les serveurs de noms faisant autorité pour google.comsont enracinés dans le domaine pour lequel ils font autorité. ( ns1.google.com, ns2.google.com, Etc.)

Lorsque vous demandez à un serveur de noms de fournir la liste des serveurs de noms d'un domaine, ils fournissent souvent une liste d' Aenregistrements de type (adresses IP) dans la ADDITIONALsection, et pas uniquement les NSréponses de type: ces enregistrements sont appelés enregistrements de collage , utilisés pour empêcher les circulaires dépendances. Dans ce cas, ces Aenregistrements sont servis à partir des serveurs de noms TLD (.com, .org, etc.) en fonction des adresses IP auxquelles quelqu'un a fourni le registre DNS responsable du domaine. Ils peuvent généralement être modifiés en vous connectant à l'interface Web d'administration qu'ils vous ont fournie.

(disclaimer: les AAAAenregistrements contenant des adresses IPV6 peuvent également être fournis avec la colle, mais j'ai omis ceci par souci de simplicité.)

Andrew B
la source
Merci pour l'explication détaillée. J'ai beaucoup appris.
Egemenk
Très bonne explication. J'aurais aimé tomber sur ce détail de résolution de dépendance circulaire avant mon dernier entretien d'embauche. Je suis à peu près sûr que mon manque de connaissance sur le sujet m'a coûté cher.
converter42
@ converter42 Pour être juste, je ne pense pas que la plupart des administrateurs système s'attendent réellement à ce que vous répondiez correctement à cette question. Je suis un responsable DNS et ce n'est certainement pas le cas. Il ne me dit quand une personne interrogée connaît mieux que DNS 80% des autres admins cependant. :)
Andrew B
1
@Patrick La section supplémentaire n'est pas activée par défaut lors de l'exécution +trace. C'est pourquoi c'est là.
Andrew B
1
@AndrewB a noté, mais il semble au moins dépendre de la version de dig ou autre chose, dans mes dig +tracetests, l'addition +additionalne change pas la sortie du tout)
Patrick Mevzek
36

Il existe une explication précise (et concise) sur wikipedia .
Citer:

Dépendances circulaires et enregistrements de colle

Les serveurs de noms dans les délégations sont identifiés par leur nom plutôt que par leur adresse IP. Cela signifie qu'un serveur de noms de résolution doit émettre une autre requête DNS pour connaître l'adresse IP du serveur auquel il a été référé.
Si le nom indiqué dans la délégation est un sous-domaine du domaine pour lequel la délégation est fournie, il existe une dépendance circulaire. Dans ce cas, le serveur de noms fournissant la délégation doit également fournir une ou plusieurs adresses IP pour le serveur de noms faisant autorité mentionné dans la délégation. Cette information s'appelle la colle.

. . .

Par exemple, si le serveur de noms faisant autorité pour example.org est ns1.example.org, un ordinateur essayant de résoudre www.example.org résout d'abord ns1.example.org. Puisque ns1 est contenu dans exemple.org, ceci nécessite la résolution préalable de exemple.org, qui présente une dépendance circulaire.
Pour rompre la dépendance, le serveur de noms du domaine de premier niveau de l'org inclut la colle avec la délégation pour example.org. Les enregistrements de collage sont des enregistrements d'adresse qui fournissent des adresses IP pour ns1.example.org. Le résolveur utilise une ou plusieurs de ces adresses IP pour interroger l'un des serveurs faisant autorité du domaine, ce qui lui permet de compléter la requête DNS.

voretaq7
la source
30

Après avoir cherché pour toujours et lu beaucoup de choses sur les disques de colle sans toujours comprendre ce qu’ils étaient ou comment les fabriquer, j’ai finalement trouvé une réponse très simple.

Si je comprends bien, aucune information supplémentaire magique n’est envoyée de quelque part, c’est ainsi que cela fonctionne.

Disons que votre domaine est exemple.com et que vous souhaitez utiliser vos propres serveurs de noms ns1.example.com et ns2.example.com, vous avez besoin d'au moins deux serveurs DNS.

  • ns1.example.com a IP 192.0.2.10
  • ns2.example.com a l'IP 192.0.2.20

Pour que cela fonctionne maintenant, vous devez que le propriétaire du domaine supérieur mette les enregistrements suivants dans leur DNS.

example.com NS ns1.example.com
example.com NS ns2.example.com

ns1.example.com A 192.0.2.10 
ns2.example.com A 192.0.2.20

Ces deux enregistrements A sont les enregistrements collés et ils doivent figurer au premier domaine, dans ce cas, .com, et tous les registraires ne peuvent le faire pour vous.

Si cela ne va pas, corrigez-moi. Je pensais juste que j'essayais d'expliquer d'une manière simple aux autres personnes qui ne trouvaient pas la bonne réponse.

hasse
la source
4
Le seul inconvénient de votre réponse est que les enregistrements collés ne se limitent pas à apparaître dans les domaines de premier niveau. Vous pouvez également avoir un sub.example.comdélégué à ns1.sub.example.comet ns2.sub.example.comdans la example.comzone. Les serveurs de noms pour coms'être délégués example.comet ne peuvent fournir de la colle à aucun de ses enfants.
Andrew B
3
Le point clé semble être que sans enregistrement collant, si le sous-domaine demandé et le serveur de noms sont situés sous le même domaine, vous serez bloqué dans une boucle infinie: sub.example.com-> example.com-> ns1.example.com-> example.com-> ns1.example.com... et ainsi de suite
Daniel Waltrip
J'ai un cerveau qui pète et chaque fois que je lis une explication sur la colle, je ne reçois pas assez d'informations - en raison de mon manque de connaissance du sens des termes ... dans cette réponse quand vous @ hasse quand vous dites "Ces deux enregistrements A sont les enregistrements de la colle et ils doivent être au premier domaine" ... qu'entendez-vous exactement par "le premier domaine"?
Claud
1
@Claud un domaine de premier niveau (je pense qu'il signifie domaine de premier niveau ou TLD) sont des domaines tels que com, net, org (et la liste s'allonge) se trouvant en haut de la hiérarchie des domaines .. chaque nom de domaine est un sous-domaine d'un autre sauf ces domaines de premier niveau.
frezq
Je ne vois pas comment les registres de domaines s'intègrent dans ces réponses concernant les enregistrements de colle. Mon registre de domaine a un DNS qui peut pointer vers son propre serveur de noms ou vers mon serveur de noms personnalisé. Mais je ne peux pas changer le TTL pour pouvoir migrer rapidement des sites Web. Est-ce que cela a à voir avec les disques de colle quelque chose?
David Spector le