Qu'est-ce que la délégation DNS?

22

En réponse à ma question précédente, j'ai remarqué ces lignes:

C'est normalement cette dernière étape de délégation qui est rompue avec la plupart des configurations d'utilisateurs à domicile. Ils ont suivi le processus d'achat d'un domaine auprès d'un registraire / fournisseur de services, mais n'ont pas réussi à configurer le domaine pour pointer la délégation vers leurs propres serveurs de noms. Vous devez en fait indiquer au registraire où se trouvent vos serveurs de noms avant de pouvoir mettre en place des enregistrements de collage pour que votre étape de délégation fonctionne.

Qu'est-ce qu'une délégation DNS? Comment ça marche? Une explication complète du domaine hypothétique abc.comserait utile.

Nishan
la source

Réponses:

24

En termes physiques, la délégation est très similaire à la façon dont un gestionnaire déléguera la responsabilité des tâches à son personnel. Les résultats sont les mêmes, mais plus d'une personne a été impliquée dans le processus. Le gestionnaire reçoit la demande de travail, transmet la responsabilité à un autre membre du personnel et le membre du personnel ou le gestionnaire revient avec les résultats du travail. Tout cela à la condition que le travail effectué par le membre du personnel soit en fait correct et soit ce que le demandeur initial a demandé (ou que le demandeur a effectivement demandé quelque chose qui était valable en premier lieu!).

Avec la délégation DNS, c'est assez similaire. Lorsqu'on comdemande aux serveurs de noms l'endroit où trouver l'autorité de la zone example.com, ils délèguent souvent ce travail à des serveurs de noms distincts (en fait, dans la grande majorité des cas, ils délèguent en fait la réponse à d'autres serveurs de noms). Lorsque vous enregistrez un domaine pour la première fois, par exemple notre example.comdomaine, cela se fait souvent par le biais d'un tiers appelé registraire. Il est courant pour les bureaux d'enregistrement de mettre leurs serveurs de noms pour la délégation et de desservir une zone par défaut à partir de ces serveurs de noms. Cette zone par défaut inclut les exigences de base pour servir cette zone sur l'Internet (les SOA, NSet les Adocuments associés à ces enregistrements NS).

Évidemment, si vous voulez vous-même prendre le contrôle de l' autorité du domaine, vous devez demander au bureau d'enregistrement de déléguer le domaine à votre serveur de noms. Différents bureaux d'enregistrement s'y réfèrent de différentes manières: «changer les serveurs de noms», «utiliser des DNS tiers», «ajouter des enregistrements de colle», etc. Le mécanisme en dessous reste le même. Vous fournissez, généralement, 2 ou plusieurs "noms de serveur de noms" (par exemple ns0.example.comet ns1.example.com) et les adresses IP auxquelles ns0et ns1sont. Ils traitent ensuite la demande et la délégation est dirigée loin de votre bureau d'enregistrement vers les serveurs de noms que vous avez fournis.

En termes techniques, c'est à ce stade que vous devez vous assurer que vos serveurs de noms sont opérationnels et desservent le domaine example.com, avec au moins un SOA(début de notice d'autorité), 1 ou plusieurs NSenregistrements et les Aenregistrements (les IP) que ces enregistrements NS sont résolus à partir de:

example.com.   IN SOA ns0.example.com. hostmaster.example.com. ( 10 3600 900 604800 7200 )
           IN NS  ns0.example.com.
           IN NS  ns1.example.com.
ns0        IN A   192.0.2.8
ns1        IN A   192.0.2.44

(J'ai choisi des valeurs arbitraires pour les valeurs SOA, les noms des enregistrements NS et les adresses IP auxquelles ces serveurs de noms se résolvent). Ceux-ci devront tous refléter la zone pour laquelle vous servez.

Ce service DNS doit être visible de n'importe où sur Internet et ne pas être protégé par un pare-feu (c'est-à-dire que le port 53 udp et tcp entrant doivent être autorisés). Votre fournisseur de services ne doit pas non plus bloquer ce port non plus (ce que certains fournisseurs bloquent le trafic entrant destiné à ces ports).

Compte tenu de ma comparaison originale, les comserveurs DNS sont les gestionnaires de DNS, qui délèguent la zone example.comaux serveurs de noms (les membres du personnel) pour faire le travail de fournir les informations de zone de base ( SOA, NS, A). Vous pouvez également servir tous les enregistrements supplémentaires tels que les enregistrements du serveur de messagerie MXou peut être un Aenregistrement pour votre www.example.comadresse.

Si ce serveur de noms ne fait pas le travail, renvoie des résultats incorrects ou si un tiers (pare-feu / FAI) bloque le travail, vous n'aurez pas de DNS fonctionnel et la délégation sera interrompue.

Il peut également être intéressant de noter que le domaine ne doit PAS être délégué à des serveurs de noms dans le même domaine, ns0.example.netet ns0.example.orgpourrait donc être un serveur de noms valide qui aurait pu leur example.comdéléguer. À condition que ces deux serveurs de noms servent le example.comdomaine.

Drav Sloan
la source
merci @Dav Sloan, pour avoir expliqué dans un langage aussi simple
Nishan
2
+1. J'ajouterais également que dans le dernier cas, où le serveur de noms ne fait pas partie du même domaine, il n'est pas nécessaire d'avoir un enregistrement "glue", juste un enregistrement ns simple dans le registraire / gTLD. Cela déroute souvent les gens.
GnP
+1 sur la réponse! La colle @GnP n'est nécessaire qu'en cas de dépendance circulaire. Étant donné que lorsque le serveur de noms ne fait pas partie du même domaine, il n'y a pas de dépendance circulaire et c'est pourquoi la colle n'est pas nécessaire? Cette conclusion est-elle correcte?
Crazy Psychild
5

La délégation en termes de DNS signifie que le serveur de noms dans la hiérarchie ci-dessus vous répondra à chaque demande à votre domaine avec une NSréponse.

Donc, au cas où abc.comvous le feriez:

$ dig com.
=>
com.        896 IN  SOA a.gtld-servers.net.  ...

Recherchez ensuite ce serveur de noms spécifiquement pour abc.com:

$ dig abc.com @a.gtld-servers.net.
=>
;; AUTHORITY SECTION:
abc.com.    172800  IN  NS  sens01.dig.com.
abc.com.    172800  IN  NS  sens02.dig.com.
abc.com.    172800  IN  NS  orns01.dig.com.
abc.com.    172800  IN  NS  orns02.dig.com.

Les enregistrements de colle signifient qu'en plus des noms d'hôte de vos serveurs de noms, l' .comautorité connaît également leurs adresses IP.

Si des enregistrements de collage sont configurés, la requête ci-dessus vous donnera également desA/AAAA réponses pour chacun des serveurs de noms.

hroptatyr
la source
5

Dans votre domaine, vous pouvez définir des hôtes comme vous le souhaitez, par exemple mymailserver. Pour me connecter à votre serveur de messagerie, je dois utiliser le DNS pour déterminer ses adresses IP et à cette fin, je dois savoir où dans l'arborescence de noms je dois rechercher mymailserver.

Cela semble compliqué, mais c'est exactement pour cela que nous utilisons le "nom de domaine complet" (FQDN). Si vous définissez un hôte mymailserverdans votre domaine, abc.com.cet hôte a le nom de domaine complet mymailserver.abc.com.. Avec ces informations, je peux résoudre ce nom à la bonne adresse IP.

Vous n'avez pas à créer tous les hôtes du formulaire <hostname>.abc.com., vous pouvez également créer des branches comme vous le souhaitez. Vous pouvez y avoir servers.abc.com.et y mettre tous vos serveurs par exemple mymailserver.servers.abc.com.. Vous pouvez le faire, car le domaine vous a abc.com.été délégué . Ce qui signifie que vous êtes autorisé à demander tout domaine et nom de domaine se terminant par abc.com.. Par conséquent, vous pouvez définir des hôtes et des sous-domaines de branche selon le contenu de votre cœur.

La délégation signifie qu'un propriétaire de domaine cède le contrôle total d'une branche à quelqu'un d'autre. Tout comme le propriétaire du com.sous-domaine délégué abc.com., vous pouvez, par exemple, dériver des sous-domaines def.abc.com.et me le déléguer. Dans mon domaine, je peux faire / définir ce que je veux / aimer sans avoir à vous demander ou à vous dire, ni même aux com.propriétaires.

Comment ça marche? Vous mettez simplement une information dans vos enregistrements DNS qui dit "pour plus d'informations, def.abc.comveuillez demander au serveur DNS hisdnsserver.def.abc.com.". Bien sûr, pour interroger ce serveur, il faut connaître l'adresse IP de hisdnsserver.def.abc.com.. C'est à cela que servent les enregistrements de colle. Vous avez en fait mis 2 informations, l'une étant juste indiquée, et l'autre étant l'adresse IP de hisdnsserver.def.abc.com.. De cette façon, vous fournissez à quiconque une question sur def.abc.com.suffisamment d'informations pour le diriger vers l'autorité pour ce sous-domaine.

Pourquoi les programmes vous ont-ils posé des questions def.abc.com.en premier lieu? Parce que vous êtes l'autorité abc.com.et l'autorité pour avoir com.donné au demandeur deux informations sur yourdnsserveret abc.com....

user1129682
la source
+1 pour la fin "." dans le FQDN. qui est souvent omis par erreur.
nass