Enregistrement SOA et NS primaire (DNS)

18

Le gros de la question est la suivante: quelle est la relation entre le serveur de noms principal spécifié dans l' SOAenregistrement et les serveurs de noms spécifiés dans les NSenregistrements. Comment ces choses sont-elles liées?

Lorsque je recherche la plupart des sites Web, j'obtiens ceci:

dhamma@sansa:~$ host -t SOA arth.com
arth.com has SOA record ns1.comcastbusiness.net. domreg-tech.comcastbusiness.net. 2009072715 3600 7200 604800 7200

Et je m'attends à voir ns1.comcastbusiness.netcomme le serveur de noms principal, parce que lorsque je demande l' NSenregistrement pour le domaine, j'obtiens ceci:

dhamma@sansa:~$ host -t NS arth.com
arth.com name server ns1.comcastbusiness.net.
arth.com name server ns2.comcastbusiness.net.
arth.com name server ns3.comcastbusiness.net.

Cela m'a toujours fait penser que les SOAenregistrements remplissaient en quelque sorte automatiquement l' NSenregistrement principal ? Est-ce même vrai à distance?

Parce que c'est là que je suis le plus confus:

dhamma@sansa:~$ host -t SOA paulwarnk.com
paulwarnk.com has SOA record a.dns.hostway.net. hostmaster.siteprotect.com. 2009012319 86400 7200 86400 99999

Mais on me dit et utilise ces serveurs de noms:

dhamma@sansa:~$ host -t NS paulwarnk.com
paulwarnk.com name server adns.cs.siteprotect.com.
paulwarnk.com name server bdns.cs.siteprotect.com.

Pourquoi ce serveur de noms adns.cs.siteprotect.comn'est-il pas répertorié comme serveur de noms principal dans l' SOAenregistrement?

scraft3613
la source

Réponses:

14

RFC 1035 dit:

MNAME <nom-domaine> du serveur de noms qui était la source de données d'origine ou principale pour cette zone.

bien que dans la pratique, ce MNAMEdomaine dans la SOAplupart du temps soit inutilisé de nos jours.

Cependant, si vous utilisez des mises à jour dynamiques DNS, il doit faire référence au nom du serveur DNS qui doit recevoir les messages de mise à jour dynamique.

Voir aussi ce brouillon Internet (expiré) qui parle du MNAMEchamp en détail, et comment le message DNS UPDATE est la seule utilisation actuelle pour celui-ci.

Alnitak
la source
C'est la raison. +1 pour une réponse courte et lisible.
womble
c'est un excellent point ... surtout de nos jours avec les zones intégrées Active Directory (qui sont mauvaises, à mon humble avis). Même si vous ne comptez pas uniquement sur des serveurs MS DNS (nous ne le faisons pas), le SOA doit pointer vers le contrôleur AD, qui avec une zone ADI, devrait être la case AD la plus proche de votre demande.
Greeblesnort
2
Cette réponse prête à confusion.
briankip
1
@Alnitak Je ne sais pas comment votre réponse relie les enregistrements NS à l'enregistrement SOA ...?
Howiecamp
1
@Alnitak Vous voudrez peut-être indiquer ce point dans votre réponse, car pour un lecteur qui ne connaît pas déjà la réponse, ce fait n'est pas clair dans votre réponse. Suggérez simplement de mettre "ils ne sont pas directement liés" en haut de votre réponse. J'ai fait le montage.
Howiecamp
9

Les enregistrements du serveur de noms sont spécifiés dans votre fichier de zone. L'enregistrement SOA indique le serveur de noms principal de la zone. Il n'y a pas de relation automatique entre les deux. Voici une bonne lecture concernant les enregistrements SOA. La réponse courte est que l'enregistrement SOA est tout l'enregistrement contenant le nom, TTL, etc ... De plus, je suggère fortement de prendre le livre O'Reilly DNS & Bind. C'est vraiment très utile.

Vos enregistrements au-delà des serveurs racine pour paulwarnk.com:

paulwarnk.com.      172800  IN  NS  adns.cs.siteprotect.com.
paulwarnk.com.      172800  IN  NS  bdns.cs.siteprotect.com.
;; Received 116 bytes from 192.55.83.30#53(M.GTLD-SERVERS.NET) in 152 ms

paulwarnk.com.      99999   IN  A   69.143.69.166
paulwarnk.com.      99999   IN  NS  adns.cs.siteprotect.com.
paulwarnk.com.      99999   IN  NS  bdns.cs.siteprotect.com.
;; Received 100 bytes from 64.26.28.8#53(adns.cs.siteprotect.com) in 12 ms

Maintenant, cela signifie que, sur les serveurs racine, adns & bdns.cs.siteprotect.com sont répertoriés comme autorités pour paulwarnk.com. Ensuite, sur ces serveurs (adns et bdns), il existe un enregistrement A pour l'enregistrement racine pointant vers 69.143.69.166.

Je pense que vous demandez pourquoi les enregistrements NS semblent différents. La réponse est que les enregistrements NS ont été spécifiés, probablement par votre registraire, pour pointer vers leurs serveurs faisant autorité pour la zone. Cependant, cette sortie semble indiquer un problème, car le serveur de noms SOA ne semble pas répondre à une demande pour vos enregistrements:

; <<>> DiG 9.2.4 <<>> @a.dns.hostway.net paulwarnk.com
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 37849
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;paulwarnk.com.         IN  A

;; Query time: 10 msec
;; SERVER: 66.113.129.243#53(66.113.129.243)
;; WHEN: Mon Nov 16 23:03:04 2009
;; MSG SIZE  rcvd: 31

edit: L'AUTORITÉ: 0 signifie que le serveur a.dns.hostway.net n'a pas répondu avec autorité. Cela semble un peu évident lorsque la section REPONSE: 0 est là, mais il est en fait important de faire la différence entre une réponse faisant autorité et une réponse sans autorité. L'autorité, dans DNS, indique si le serveur dont vous avez obtenu la réponse peut réellement être fiable pour savoir de quoi il parle.

Quant à savoir pourquoi un serveur est répertorié dans la SOA, je ne sais pas si j'ai jamais lu la raison pour laquelle il l'a mis là, mais ce serveur devrait être le serveur maître de la zone, d'où Start of Authority, ou SOA. Ce n'est pas toujours le cas, car le SOA pour tous les 1400+ de mes domaines répertorie un serveur de requête principal dans le SOA, mais le début réel de l'autorité est sur un maître caché auquel personne ne peut accéder.

Greeblesnort
la source
Merci beaucoup, ça clarifie beaucoup. Quel est donc le but de spécifier un serveur de noms principal dans la SOA? Y a-t-il une raison pour laquelle il est dit AUTORITÉ 0 dans votre requête? Oh, tant de questions. Je vais chercher le livre O'Reilly.
scraft3613
Votre modification est incorrecte. Le AAdrapeau est utilisé pour indiquer une réponse faisant autorité. AUTHORITY: 0signifie simplement qu'il n'y a pas de réponses dans la "section autorité" de la réponse.
Alnitak
Techniquement correct, mais je ne pense pas que ma modification soit incorrecte dans son contexte. Sans indicateur aa, vous n'obtenez pas de réponse faisant autorité. Merci cependant, m'a fait relire la documentation =)
Greeblesnort