Was ist ein Leimrekord?

Antworten:

129

Ein Leimdatensatz ist ein Begriff für einen Datensatz, der von einem DNS-Server bereitgestellt wird, der nicht für die Zone autorisiert ist, um die Bedingung unmöglicher Abhängigkeiten für eine DNS-Zone zu vermeiden.

Angenommen, ich besitze eine DNS-Zone für example.com. Ich mag DNS - Server habe that're für diese Domain die autorisierende Zone Hosting , so dass ich auch wirklich verwenden kann - Hinzufügen von Datensatz für den Stamm der Domäne, www, mailusw. Also, ich den Nameserver in der Registrierung setzen zu delegieren sie - das sind immer Namen, also geben wir ns1.example.comund ein ns2.example.com.

Da ist der Trick. Die Server der TLD werden an die DNS-Server im Whois-Datensatz delegiert - aber sie befinden sich innerhalb example.com. Sie versuchen zu finden ns1.example.com, fragen Sie die .comServer und erhalten bezeichnet zurück zu ... ns1.example.com.

Glue Records ermöglichen es den Servern der TLD, zusätzliche Informationen in ihrer Antwort auf die Abfrage nach der example.comZone zu senden, um die IP-Adresse zu senden, die auch für die Nameserver konfiguriert ist. Es ist nicht autorisierend, aber es ist ein Zeiger auf die autorisierenden Server, sodass die Schleife aufgelöst werden kann.

Shane Madden
quelle
57

Ich habe darum gebeten, diese Antwort aus einer doppelten Frage zusammenzuführen, da die vorhandenen Antworten nicht die Rolle des ADDITIONALAbschnitts erklärten .

Geben Sie Folgendes ein, um zu sehen, wie es funktioniert: dig +trace +additional google.com SOA

Dadurch wird die Nameserver-Berechtigung beginnend mit den Root-Servern ( +trace) verfolgt. Durch Hinzufügen +additionalwird auch der ADDITIONALAbschnitt jeder DNS-Serverantwort angezeigt. Normalerweise denken die meisten Menschen über DNS in Bezug auf die QUESTIONund die ANSWERAbschnitte nach, spielen aber ADDITIONALauch eine wichtige Rolle: Wenn der Nameserver die Antworten auf alle Fragen kennt, die mit der Antwort zusammenhängen, kann er diese Antworten im ADDITIONALAbschnitt vorab bereitstellen, ohne dies zu erfordern zusätzliche Anfragen von Ihrem Kunden.

Beachten Sie, dass die autorisierenden Nameserver für google.comunter der Domäne verwurzelt sind, für die sie autorisierend sind. ( ns1.google.com, ns2.google.com, Etc.)

Wenn Sie einen Nameserver auffordern, die Liste der Nameserver für eine Domain anzugeben, wird häufig eine Liste von AEinträgen vom Typ (IP-Adressen) in diesem ADDITIONALAbschnitt NSbereitgestellt , nicht nur die Antworten vom Typ: Diese werden als Leim-Einträge bezeichnet und dienen zum Verhindern von Umlauf Abhängigkeiten. In diesem Fall werden diese ADatensätze von den TLD-Nameservern (.com, .org usw.) basierend auf den IP-Adressen bereitgestellt, die der für die Domain zuständige DNS-Registrar angegeben hat. Sie können normalerweise geändert werden, indem Sie sich bei der von ihnen bereitgestellten Admin-Weboberfläche anmelden.

(Haftungsausschluss: AAAADatensätze, die IPV6-Adressen enthalten, können auch als Teil des Klebstoffs geliefert werden. Der Einfachheit halber habe ich darauf verzichtet.)

Andrew B
quelle
Vielen Dank für die ausführliche Erklärung. Ich habe viel gelernt.
Egemenk
Sehr gute Erklärung. Ich wünschte, ich wäre vor meinem letzten Vorstellungsgespräch auf dieses Detail der zirkulären Abhängigkeitsauflösung gestoßen. Ich bin mir ziemlich sicher, dass mich meine Ahnungslosigkeit in diesem Bereich sehr gekostet hat.
converter42
@ converter42 Um fair zu sein, ich glaube nicht, dass die meisten Sysadmins tatsächlich erwarten, dass Sie diese Frage richtig stellen. Ich bin ein DNS-Lead und das tue ich bestimmt nicht. Es wird mir sagen , wenn ein Befragter DNS besser als 80% der anderen Admins kennt though. :)
Andrew B
1
@Patrick Der zusätzliche Abschnitt ist bei der Ausführung nicht standardmäßig aktiviert +trace. Deshalb ist es da.
Andrew B
1
@ AndrewB zur Kenntnis genommen, aber es scheint zumindest zu graben Version oder etwas anderes abhängen, in meinen dig +traceTests +additionaländert das Hinzufügen nicht die Ausgabe überhaupt)
Patrick Mevzek
36

Es gibt eine genaue (und prägnante) Erklärung auf Wikipedia .
Zitieren:

Kreisförmige Abhängigkeiten und Leimsätze

Nameserver in Delegationen werden nicht über die IP-Adresse, sondern über den Namen identifiziert. Dies bedeutet, dass ein auflösender Nameserver eine weitere DNS-Anforderung absetzen muss, um die IP-Adresse des Servers zu ermitteln, auf den er verwiesen wurde.
Wenn der in der Delegation angegebene Name eine Unterdomäne der Domäne ist, für die die Delegation bereitgestellt wird, besteht eine zirkuläre Abhängigkeit. In diesem Fall muss der Nameserver, der die Delegation bereitstellt, auch eine oder mehrere IP-Adressen für den in der Delegation genannten autorisierenden Nameserver bereitstellen. Diese Information wird als Kleber bezeichnet.

. . .

Wenn der maßgebliche Nameserver für example.org beispielsweise "ns1.example.org" ist, löst ein Computer, der versucht, "www.example.org" aufzulösen, zuerst "ns1.example.org" auf. Da ns1 in example.org enthalten ist, muss example.org zuerst aufgelöst werden, was eine zirkuläre Abhängigkeit darstellt.
Um die Abhängigkeit aufzuheben, enthält der Nameserver für die Domäne oberster Ebene der Organisation zusammen mit der Delegierung für example.org Klebstoff. Die Leimdatensätze sind Adressdatensätze, die IP-Adressen für ns1.example.org bereitstellen. Der Resolver verwendet eine oder mehrere dieser IP-Adressen, um einen der autorisierenden Server der Domäne abzufragen, wodurch die DNS-Abfrage abgeschlossen werden kann.

voretaq7
quelle
30

Nachdem ich für immer gesucht und viel über Leimaufzeichnungen gelesen habe und immer noch nicht verstanden habe, was sie waren oder wie man sie herstellen kann, habe ich endlich eine Antwort gefunden und es ist eine sehr einfache.

Soweit ich weiß, werden keine magischen Zusatzinformationen von irgendwoher gesendet. So funktioniert es.

Nehmen wir an, Ihre Domain ist example.com und Sie möchten Ihre eigenen Nameserver ns1.example.com und ns2.example.com verwenden. Sie benötigen mindestens zwei DNS-Server.

  • ns1.example.com hat die IP 192.0.2.10
  • ns2.example.com hat IP 192.0.2.20

Damit dies jetzt funktioniert, muss der Top-Domaininhaber die folgenden Einträge in sein DNS eintragen.

example.com NS ns1.example.com
example.com NS ns2.example.com

ns1.example.com A 192.0.2.10 
ns2.example.com A 192.0.2.20

Diese beiden A-Records sind die Leim-Records und müssen sich in der Top-Domain befinden, in diesem Fall .com, und nicht alle Registrare können dies für Sie erledigen.

Wenn dies falsch ist, korrigieren Sie mich bitte. Ich dachte nur, ich versuche es auf einfache Weise für andere zu erklären, die keine richtige Antwort finden.

hasse
quelle
4
Die einzige Einschränkung für Ihre Antwort ist, dass Leimdatensätze nicht nur in den Top-Level-Domains angezeigt werden. Sie können auch eine sub.example.coman ns1.sub.example.comund ns2.sub.example.comin der example.comZone delegierte haben . Die Nameserver für comhaben example.comvon sich selbst delegiert und können keinem ihrer Kinder Leim geben.
Andrew B
3
Der entscheidende Punkt scheint zu sein, dass Sie ohne einen Leimsatz in einer Endlosschleife stecken bleiben, wenn sich die angeforderte Subdomäne und der angeforderte Nameserver unter derselben Domain befinden: sub.example.com-> example.com-> ns1.example.com-> example.com-> ns1.example.com... und so weiter
Daniel Waltrip
Ich habe einen Hirnfurz und jedes Mal, wenn ich eine Erklärung von Leim lese, bekomme ich nicht genug Informationen - ich bin sicher, dass ich die Bedeutung der Begriffe nicht kenne ... in dieser Antwort, wenn Sie @ hasse, wenn du sagst "Diese beiden A-Einträge sind die Leimeinträge und müssen sich in der obersten Domain befinden" ... was genau meinst du mit "der obersten Domain"?
Claud
1
@Loben Sie eine Top-Domain (ich denke, er bedeutet Top-Level-Domain oder TLD) sind Domains wie com, net, org (und die Liste geht weiter), die sich oben in der Domain-Hierarchie befinden. Jeder Domain-Name ist eine Sub-Domain einer anderen mit Ausnahme dieser Top-Level-Domains.
Frezq
Ich verstehe nicht, wie Domain-Registrys in diese Antworten zu Leimdatensätzen passen. Meine Domain-Registrierung verfügt über einen DNS, der auf einen eigenen Nameserver oder meinen benutzerdefinierten Nameserver verweisen kann. Aber ich kann die TTL nicht ändern, damit ich Websites schnell migrieren kann. Hat das irgendwie mit Leimaufzeichnungen zu tun?
David Spector