Was ist der Unterschied zwischen Authoritative Nameserver und Recursive Resolver?

23

Ich bin neu in der Vernetzung und all diese DNS-Sache.

Ich habe folgende Fragen

  • Was ist ein autorisierender Nameserver?
  • Was ist ein rekursiver Resolver?

Bitte hilf mir dabei.

Ich habe Authoritative Nameserver gelesen , konnte es aber nicht klar verstehen. Kann man mich bitte in einfachen Worten erklären.

Yasser
quelle

Antworten:

25

Ein autorisierender Nameserver ist ein Nameserver (DNS-Server), der die tatsächlichen DNS-Einträge (A, CNAME, PTR usw.) für eine bestimmte Domain / Adresse enthält. Ein rekursiver Resolver ist ein DNS-Server, der einen autorisierenden Nameserver abfragt, um eine Domäne / Adresse aufzulösen.

Wenn ich beispielsweise einen DNS-Server in meinem Netzwerk habe, der einen A-Eintrag für foobar.com enthält, ist mein DNS-Server für die Domain foobar.com maßgeblich.

Wenn Clients auf foobar.com zugreifen müssten, könnten sie meinen DNS-Server abfragen und eine autorisierende Antwort erhalten.

Wenn ein Client jedoch auf contoso.com zugreifen musste und meinen DNS-Server abfragte, verfügte er nicht über Datensätze, um diese Domäne aufzulösen. Damit mein DNS-Server contoso.com auflösen kann, muss er rekursive Lookups verwenden (über Weiterleitungen oder Stammhinweise). Mein DNS-Server ist so eingestellt, dass Abfragen für Domänen, für die er nicht autorisiert ist, an einen anderen DNS-Server gesendet werden. Dieser DNS-Server würde dasselbe tun, bis die Abfrage einen DNS-Server erreicht, der für contoso.com autorisierend ist. Dieser DNS-Server würde die richtigen Datensätze zurückgeben, die vollständig an den Client zurückgegeben würden.

Dies ist eine übermäßige Vereinfachung, da hier andere Dinge im Spiel sind, wie das Zwischenspeichern von Datensätzen.

HostBits
quelle
Hier authoritative responseist eine IP-Adresse? oder etwas anderes. und danke für solch eine nette Erklärung
Yasser
Ja, es kann sich um eine andere IP-Adresse handeln, aber eine IP-Adresse ist ein Beispiel.
HostBits
1
> hier ist "maßgebliche antwort" eine ip adresse? oder etwas anderes. - jede Art von RR (Ressourceneintrag), z. B. ein A-Eintrag, AAAA, SOA, MX, PTR, CNAME, NS usw.
Michael McNally
15

Ich habe folgende Fragen

  • Was ist ein autorisierender Nameserver?
  • Was ist ein rekursiver Resolver?

Bitte beachten Sie, dass "Resolver" und "Nameserver" nicht genau gleichbedeutend sind und Sie im ersten Fall nach einem Nameserver und im zweiten nach einem Resolver fragen.

Ein autorisierender Nameserver ist ein Server , der Abfragen aus seinen eigenen Daten befriedigt, ohne auf eine andere Quelle verweisen zu müssen. Sofern es sich nicht auch um einen rekursiven Nameserver handelt (eine Vorgehensweise, die im Allgemeinen veraltet ist), werden nur autorisierende Daten aus dem eigenen Speicher (die aus einer Zonenstammdatei stammen können, aus einer Kopie dieser Daten, die von einem Masterserver übertragen wurden, aus einem Datenbank, aus dynamischem DNS, eingebaut sein, etc.) oder mit einem Verweis (zB "Ich kenne diese Antwort nicht, aber Sie können mit dem Server so-and-so sprechen, der Fragen für diese Subdomain beantwortet.), oder mit einem NXDOMAIN oder ähnlichen Fehler.

Ein rekursiver Nameserver ist ein Server , der Anfragen befriedigt, indem er andere Nameserver nach der Antwort fragt und den Baum bei Bedarf von der Stammebene des DNS-Baums aus durchläuft. Wenn die Antwort nicht bekannt ist, wird versucht, sie für den abfragenden Client zu finden.

Ein Resolver ist (gemeinsam) die Gruppe von Funktionen, die ein DNS-fähiges System zum Abfragen von DNS verwendet.

  • Die meisten Client-Systeme verfügen über einen Stub-Resolver , der nur sehr grundlegend weiß, wie ein DNS-Server abgefragt und eine Antwort empfangen wird, der jedoch keine Logik zum Verfolgen einer Delegierungskette vom Stamm aus enthält.
  • Ein rekursiver Resolver ist ein Full-Service-Resolver, der den Baum durchsuchen kann, um eine Antwort auf eine Abfrage zu finden.
  • Rekursive Nameserver müssen die Funktionalität eines rekursiven Resolvers enthalten, um zu funktionieren. Andere Programme können jedoch rekursive Resolver enthalten, ohne die Funktionen eines Nameservers auszuführen . Ein hervorragendes Beispiel ist das Dienstprogramm / DNS-Fehlerbehebungsprogramm "dig" (von ISC als Teil von BIND vertrieben), das einen vollständigen rekursiven Resolver enthält .

DNS-Konzepte, die manchmal mit der Unterscheidung zwischen autoritativ und rekursiv verwechselt werden:

Es gibt mehrere DNS-Konzepte, die manchmal mit der Aufteilung zwischen autoritativen und rekursiven Daten verwechselt werden.

Delegation

Dieser verwirrt einige Leute, insbesondere, weil der Name des SOA-Ressourceneintragstyps (Start of Authority) das Wort "Authority" enthält, das so klingt, als ob es mit "authoritative" zusammenhängen sollte. Sie können jedoch autorisierende Daten für eine Zone bereitstellen, die nicht an Sie delegiert ist, und viele Personen tun dies auch. Beispiele hierfür sind das Blockieren von DNS-basierten Inhalten und Server, die autorisierende Antworten für RFC 1918-Zonen bereitstellen [dh niemand hat Ihnen die Befugnis übertragen, PTR-Datensatzabfragen für 168.192.in-addr.arpa (192.168.0.0/16) und ähnliche Zonen zu beantworten, dies ist jedoch nicht der Fall Es ist eine schlechte Idee für Ihren Server, solche Abfragen autorisierend zu beantworten, anstatt Abfragen für diese Zonen an das Internet zu senden, für die niemand delegiert ist, um sie zu beantworten.

Es ist nicht erforderlich, dass Sie die Berechtigung für eine Zone erhalten, damit Antworten als maßgeblich betrachtet werden.

Meister und Sklave

Slave-Server sind, obwohl sie ihre Zonendaten von einer anderen Quelle beziehen, weiterhin autorisierende Server, da sie Abfragen mit Daten aus ihrem eigenen Speicher (welcher Art auch immer) befriedigen, anstatt sie durch Weiterleiten der Abfragen an andere Nameserver zu befriedigen.

Slave-Server sind autorisierende Server (für die Zonen, die sie bedienen).

Michael McNally
quelle
Wenn ein nslookup für google.com durchgeführt wird, erhalte ich unterschiedliche Ergebnisse mit unterschiedlichen Nameservern. Wie ist das möglich? In jedem Fall würde ich beim direkten Cachen oder Schlagen des maßgeblichen Nameservers jedes Mal die gleiche IP erwarten.
Samshers