Was ist DNS-Delegierung?

22

In einer Antwort auf meine vorherige Frage bemerkte ich diese Zeilen:

Normalerweise ist diese letzte Stufe der Delegierung bei den meisten Heimanwender-Setups unterbrochen. Sie haben den Vorgang des Kaufs einer Domain bei einem Registrar / Service Provider durchlaufen, konnten die Domain jedoch nicht so konfigurieren, dass die Delegation auf ihre eigenen Nameserver verweist. Sie müssen dem Registrar tatsächlich mitteilen, wo sich Ihre Nameserver befinden, bevor sie Leimdatensätze platzieren können, damit Ihre Delegation funktioniert.

Was ist eine DNS-Delegation? Wie funktioniert es? Eine vollständige Erklärung für den hypothetischen Bereich abc.comwäre hilfreich.

Nishan
quelle

Antworten:

24

In physischer Hinsicht ähnelt die Delegierung stark der Art und Weise, wie ein Manager die Verantwortung für Aufgaben an seine Mitarbeiter delegiert. Die Ergebnisse sind die gleichen, jedoch war mehr als eine Person an dem Prozess beteiligt. Der Manager erhält die Aufforderung zur Arbeit, gibt die Verantwortung an einen anderen Mitarbeiter weiter und entweder der Mitarbeiter oder der Manager kehrt mit den Arbeitsergebnissen zurück. Dies alles unter der Voraussetzung, dass die vom Mitarbeiter geleistete Arbeit tatsächlich korrekt ist und dem Wunsch des ursprünglichen Antragstellers entspricht (oder dass der Antragsteller tatsächlich nach etwas gefragt hat, das überhaupt gültig war!).

Bei der DNS-Delegierung ist es ziemlich ähnlich. Wenn die comNameserver nach der Stelle gefragt werden, an der sie die Berechtigung für die Zone finden example.com, delegieren sie diese Arbeit häufig an separate Nameserver (in den allermeisten Fällen delegieren sie die Antwort tatsächlich an andere Nameserver). Wenn Sie zum ersten Mal eine Domain registrieren, sagen wir unsere example.comDomain, erfolgt dies häufig über einen Dritten, den so genannten Registrar. Es ist üblich, dass Registrare ihre Nameserver für die Delegierung einrichten und von diesen Nameservern aus eine Standardzone bedienen. Diese Standardzone enthält die grundlegenden Anforderungen , die Zone im Internet zu dienen (die SOA, NSund AAufzeichnungen im Zusammenhang zu diesen NS - Records).

Wenn Sie selbst die Kontrolle über die Autorität der Domain übernehmen möchten , müssen Sie den Registrar natürlich bitten, die Domain stattdessen an Ihren Nameserver zu delegieren. Verschiedene Registrare verweisen auf unterschiedliche Weise auf diesen Vorgang: "Nameserver ändern", "DNS von Drittanbietern verwenden", "Leimdatensätze hinzufügen" usw. Der Mechanismus darunter bleibt der gleiche. Sie geben im Allgemeinen mindestens zwei "Nameservernamen" an (z. B. ns0.example.comund ns1.example.com) sowie die IP-Adressen, unter denen ns0und ns1lauten. Anschließend wird die Anfrage bearbeitet und die Delegation von Ihrem Registrar zu den von Ihnen bereitgestellten Nameservern weitergeleitet.

Technisch gesehen müssen Sie zu diesem Zeitpunkt sicherstellen, dass Ihre Nameserver in Betrieb sind und die Domain example.commit mindestens einem SOA(Beginn des Berechtigungsdatensatzes), einem oder mehreren NSDatensätzen und den ADatensätzen (den IPs) bedienen, die diese NS-Datensätze enthalten sind gelöst von:

example.com.   IN SOA ns0.example.com. hostmaster.example.com. ( 10 3600 900 604800 7200 )
           IN NS  ns0.example.com.
           IN NS  ns1.example.com.
ns0        IN A   192.0.2.8
ns1        IN A   192.0.2.44

(Ich habe irgendwo beliebige Werte für die SOA-Werte, die Namen für die NS-Einträge und die IPs ausgewählt, zu denen diese Nameserver auflösen). Diese müssen alle die Zone widerspiegeln, für die Sie dienen.

Dieser DNS-Dienst muss von jedem Ort im Internet aus sichtbar sein und darf nicht durch eine Firewall geschützt sein. Auch Ihr Dienstanbieter darf diesen Port nicht blockieren (einige Anbieter blockieren eingehenden Datenverkehr für diese Ports).

In Anbetracht meines ursprünglicher Vergleich die comName - Server sind der DNS - Manager, die die Zone delegieren example.coman den Name - Server (die Mitarbeiter) , um die Arbeit für die Bereitstellung der Basiszoneninformationen zu tun ( SOA, NS, A). Sie können auch zusätzliche Datensätze wie Mailserver-Datensätze MXoder einen ADatensatz für Ihre www.example.comAdresse bereitstellen.

Wenn dieser Nameserver die Arbeit nicht erledigt, die falschen Ergebnisse zurückgibt oder ein Drittanbieter (Firewall / ISP) die Arbeit blockiert, wird DNS nicht ausgeführt und die Delegierung wird unterbrochen.

Es kann auch sein bemerkenswert, dass die Domain nicht auf Namen - Server in der gleichen Domäne delegiert werden muss, so ns0.example.netund ns0.example.orgkönnte sowohl gültige Name - Server sein, der hätte example.comsich delegiert. Vorausgesetzt, beide Nameserver haben die example.comDomain bedient.

Drav Sloan
quelle
danke @Dav Sloan, für das Erklären in solch einer einfachen Sprache
Nishan
2
+1. Ich möchte auch hinzufügen, dass im letzten Fall, in dem der Nameserver nicht Teil derselben Domain ist, kein "Glue" -Datensatz erforderlich ist, sondern lediglich ein einfacher ns-Datensatz in der Registrar / gTLD. Das verwirrt die Menschen oft.
GnP
+1 auf die Antwort! @GnP-Klebstoff wird nur benötigt, wenn eine zirkuläre Abhängigkeit besteht. Da der Nameserver nicht Teil derselben Domain ist, gibt es keine zirkuläre Abhängigkeit und deshalb wird kein Klebstoff benötigt? Ist diese Schlussfolgerung richtig?
Crazy Psychild
5

Eine Delegierung in Bezug auf DNS bedeutet, dass der Nameserver in der obigen Hierarchie jede Anfrage an Ihre Domain mit einer NSAntwort beantwortet .

Also, falls abc.comSie das tun würden:

$ dig com.
=>
com.        896 IN  SOA a.gtld-servers.net.  ...

Dann fragen Sie diesen Nameserver gezielt nach abc.com:

$ dig abc.com @a.gtld-servers.net.
=>
;; AUTHORITY SECTION:
abc.com.    172800  IN  NS  sens01.dig.com.
abc.com.    172800  IN  NS  sens02.dig.com.
abc.com.    172800  IN  NS  orns01.dig.com.
abc.com.    172800  IN  NS  orns02.dig.com.

Leimaufzeichnungen bedeuten, dass die .comBehörde neben den Hostnamen Ihrer Nameserver auch deren IP-Adressen kennt.

Wenn Glue - Records aufgebaut werden, wird die obige Abfrage auch geben Ihnen A/AAAAAntworten für jeden der Name - Server.

hroptatyr
quelle
5

Innerhalb Ihrer Domain können Sie beispielsweise Hosts nach Belieben definieren mymailserver. Um eine Verbindung zu Ihrem Mailserver herzustellen, muss ich den DNS verwenden, um seine IP-Adressen zu ermitteln, und zu diesem Zweck muss ich wissen, wo im Namensbaum ich suchen soll mymailserver.

Klingt kompliziert, ist aber genau das, wofür wir den "vollqualifizierten Domainnamen" (FQDN) verwenden. Wenn Sie einen Host mymailserverin Ihrer Domain definieren abc.com., verfügt dieser Host über den FQDN mymailserver.abc.com.. Mit diesen Informationen kann ich diesen Namen in die richtige IP-Adresse auflösen.

Sie müssen nicht alle Hosts des Formulars erstellen, sondern können nach Belieben <hostname>.abc.com.verzweigen. Sie können servers.abc.com.zum Beispiel alle Ihre Server dort haben und aufstellen mymailserver.servers.abc.com.. Sie können dies tun, weil die Domain abc.com.wurde delegiert an Dich. Das bedeutet, dass Sie die Autorität sind, nach jeder Domain und jedem Domainnamen zu fragen, die auf enden abc.com.. Daher können Sie Hosts und Branch-Subdomains nach Herzenslust definieren.

Delegierung bedeutet, dass ein Domaininhaber die vollständige Kontrolle über eine Zweigstelle an eine andere Person abgibt. So wie der Eigentümer com.die Subdomain abc.com.an Sie delegiert hat, können Sie beispielsweise Subdomains abzweigen def.abc.com.und an mich delegieren. Innerhalb meiner Domain kann ich tun / definieren, was ich will / möchte, ohne Sie oder sogar die com.Eigentümer danach fragen oder darüber informieren zu müssen.

Wie funktioniert es? Sie fügen einfach eine Information in Ihre DNS-Einträge ein, die besagt: "Für Informationen def.abc.comfragen Sie bitte den DNS-Server. hisdnsserver.def.abc.com." Um diesen Server abzufragen, muss man natürlich die IP-Adresse von kennen hisdnsserver.def.abc.com.. Dafür sind Leimaufzeichnungen da. Sie haben tatsächlich 2 Informationen eingegeben, eine davon ist die gerade angegebene und die andere die IP-Adresse von hisdnsserver.def.abc.com.. Auf diese Weise stellen Sie jemandem eine Frage def.abc.com.mit genügend Informationen, um ihn auf die Berechtigung für diese Unterdomäne hinzuweisen.

Warum haben Sie Programme gefragt def.abc.com.? Weil Sie die Autorität für abc.com.und die Autorität für com.den Antragsteller zwei Informationen über yourdnsserverund abc.com....

user1129682
quelle
+1 für die Endung "." im FQDN. was fälschlicherweise oft weggelassen wird.
nass