Wie teste ich den DNS-Leimsatz?

24

Hallo, ich habe gerade einen DNS-Server für meine Domain example.org mit 2 Nameservern ns1.example.org und ns2.example.org eingerichtet. Ich habe versucht, bei meinem Registrar einen Leimdatensatz für ns1 und ns2 einzurichten.

Es scheint für den Moment zu funktionieren, wenn ich ein dig example.org mache, aber wenn ich ein whois example.org mache, listet es ns1.example.org und ns2.example.org auf, aber nicht ihre IP-Adresse, die als Leimdatensatz eingerichtet werden sollte .

Ich frage mich also, wie ich nach einem Leimprotokoll suchen soll. Mache ich das mit whois? Ich habe .com- und .net-whois-Einträge gesehen, die sowohl den Domainnamen als auch die IP-Adresse für die Nameserver enthalten. Ist .org anders? Was ist der richtige Weg, um dies zu testen?

Vielen Dank.


quelle

Antworten:

44

Leimdatensätze existieren immer nur in der übergeordneten Zone eines Domainnamens.

example.orgSuchen Sie daher bei Ihrem Domainnamen zunächst die .orgNameserver:

% dig +short org. NS
a0.org.afilias-nst.info.
a2.org.afilias-nst.info.
b0.org.afilias-nst.org.
b2.org.afilias-nst.org.
c0.org.afilias-nst.info.
d0.org.afilias-nst.org.

Fragen Sie diese Nameserver dann explizit nach den NSDatensätzen für Ihre Domain, wenn Sie testen möchten:

% dig +norec @a0.org.afilias-nst.info. example.org. NS

Sie sollten die korrekte Liste der NSDatensätze im "ANTWORT-ABSCHNITT" zurückerhalten. Für alle Nameserver, die den Klebstoff korrekt konfiguriert haben, sollten diese Klebstoff- A(und / oder AAAA) Datensätze im "ZUSÄTZLICHEN ABSCHNITT" angezeigt werden.

Alnitak
quelle
Für meine Domain enthält der zusätzliche Abschnitt den Leimdatensatz, aber auch mehrere andere NS-Datensätze, die nicht Teil des Leims sind, den ich in der Registrierung festgelegt habe. Wie kann ich diese auseinanderhalten?
Calimo
7

So überprüfen Sie, ob ein GLUE-Datensatz eingerichtet ist:

dig +trace @a.root-servers.net ns0.nameserverhere.com

Wenn der KLEBER eingerichtet ist, sollte ein Datensatz angezeigt werden, der endet mit:

“Recevied XXX bytes from x.GTLD-SERVERS.NET.”

Es gibt auch Websites wie http://www.intodns.com/, die dies für Sie erledigen.

Coops
quelle
Danke, intodns hat super funktioniert und alle grünen Zecken auf dem Kleber und NS-Zeug bekommen. Den dig-Befehl bekomme ich allerdings nicht. Ich habe eine empfangene Nachricht erhalten. Insbesondere habe ich folgendes erhalten: "433 Bytes von 192.33.4.12 # 53 (c.root-servers.net) in 183 ms empfangen." Aber dann endet es mit: "Zeitüberschreitung der Verbindung; es konnten keine Server erreicht werden". Ich erhalte auch ähnliche Meldungen, wenn für den ns-Teil eine Zufallszahl verwendet wird, z. B. ns384289.example.org.
9
Dieser Grabungsdiagnosetest ist völlig falsch ...
Alnitak
Ich weiß, das ist alt, aber sehr hilfreich. Ich habe die Ergebnisse in sed / awk umgeleitet, um den Root-Server mit dem Nameserver zu vergleichen und nicht übereinstimmende NS-Datensätze zu identifizieren.
Jeffatrackaid
4

Hier ist ein kleines Shell-Skript, das Alnitaks Antwort implementiert:

#!/bin/sh
S=${IFS}
IFS=.
for P in $1; do
  TLD=${P}
done
IFS=${S}

echo "TLD: ${TLD}"
DNSLIST=$(dig +short ${TLD}. NS)
for DNS in ${DNSLIST}; do
  echo "Checking ${DNS}"
  dig +norec +nocomments +noquestion +nostats +nocmd @${DNS} $1 NS
done

Übergeben Sie den Namen der Domain als Parameter:

./checkgluerecords.sh example.org
Adrian W
quelle
3

dig +traceDies ist im Allgemeinen der einfachste Weg, um die Kette der Delegationen zu überprüfen. Leimdatensätze befinden sich jedoch im zusätzlichen Abschnitt, und die Trace-Ausgabe enthält standardmäßig keinen zusätzlichen Abschnitt. Sie müssen explizit angeben, dass dies in der Ausgabe enthalten sein soll.

dig +trace +additional example.com


Wenn Sie die Vernunft der Delegierungskette überprüfen möchten, möchten Sie NSin diesem Fall wahrscheinlich auch die maßgeblichen Datensätze anzeigen:

dig +trace +additional example.com NS
Håkan Lindqvist
quelle
0

Sie können auch whois, sofern die Registrierung dies unterstützt, das Vorhandensein von Klebstoff für einen bestimmten Nameserver direkt überprüfen. So überprüfen Sie beispielsweise einen der Nameserver von serverfault.com:

whois ns-860.awsdns-43.net.

Für eine präzisere Antwort:

whois ns-860.awsdns-43.net. | grep "No match\|IP" | xargs

Hinweis: Dies funktioniert sicherlich für Nameserver im .net- und .com-Namespace, wahrscheinlich jedoch nicht für die meisten anderen Registries.

user3166580
quelle
1
whois ist wirklich nicht das richtige Werkzeug, um nach dem Vorhandensein von Klebstoff zu fragen. digist angemessener.
Sendmoreinfo
Ich bin anderer Meinung: Sie können das Vorhandensein von Leim direkt mit whois überprüfen (dh ohne eine Domain zu benötigen, die an diesen Nameserver delegiert wurde), aber jetzt, da ich dies überprüft habe, ist dies bei .org TLD nicht der Fall. Meine Antwort ist für .net / .com korrekt, aber das war nicht die ursprüngliche Frage. Ich nehme an, dass es keine gute Antwort auf diese Frage ist.
user3166580
Ich denke auch, dass der entscheidende Punkt für den ursprünglichen Beitrag ist, dass Sie, wenn der Klebstoff nicht in der übergeordneten Zone der Organisation vorhanden wäre, die Domäne nicht an die Nameserver delegieren könnten. dh weil Sie keine leimlosen In-Bailiwick-Nameserver haben können.
user3166580
Ihre Antwort ist weder für TLDs richtig. whoisHat nichts mit operativem DNS zu tun und ist nicht das Werkzeug, um Leime zu erkennen. Sie können whois verwenden, um nach Nameservern zu suchen, die in Registries vorhanden sind. Die Tatsache, dass der Nameserver hier in einem Objekt gespeichert ist, bedeutet jedoch nicht, dass er von der Domain verwendet wird, in der es sich um einen Bailiwick handelt. Dies ist der einzige Fall, als der er veröffentlicht werden muss kleben.
Patrick Mevzek