SOA- und primärer NS-Eintrag (DNS)

18

Die Hauptfrage lautet: Welche Beziehung besteht zwischen dem im SOADatensatz angegebenen primären Nameserver und den in den NSDatensätzen angegebenen Nameservern ? Wie hängen diese Dinge zusammen?

Wenn ich die meisten Websites abfrage, erhalte ich Folgendes:

dhamma@sansa:~$ host -t SOA arth.com
arth.com has SOA record ns1.comcastbusiness.net. domreg-tech.comcastbusiness.net. 2009072715 3600 7200 604800 7200

Und ich erwarte, ns1.comcastbusiness.netals primärer Nameserver zu fungieren, denn wenn ich den NSDatensatz für die Domain abfrage, erhalte ich Folgendes:

dhamma@sansa:~$ host -t NS arth.com
arth.com name server ns1.comcastbusiness.net.
arth.com name server ns2.comcastbusiness.net.
arth.com name server ns3.comcastbusiness.net.

Dies führte immer zu der Annahme, dass die SOADatensätze den Primärdatensatz automatisch auffüllten NS. Ist das überhaupt im entferntesten wahr?

Denn hier bin ich am verwirrtesten:

dhamma@sansa:~$ host -t SOA paulwarnk.com
paulwarnk.com has SOA record a.dns.hostway.net. hostmaster.siteprotect.com. 2009012319 86400 7200 86400 99999

Aber mir wurde gesagt, und verwenden Sie diese Nameserver:

dhamma@sansa:~$ host -t NS paulwarnk.com
paulwarnk.com name server adns.cs.siteprotect.com.
paulwarnk.com name server bdns.cs.siteprotect.com.

Warum ist dieser Nameserver adns.cs.siteprotect.comnicht als primärer Nameserver im SOADatensatz aufgeführt?

scraft3613
quelle

Antworten:

14

RFC 1035 sagt:

MNAME Der <Domänenname> des Nameservers, der die ursprüngliche oder primäre Datenquelle für diese Zone war.

obwohl dieses MNAMEFeld in der Praxis SOAheutzutage meist nicht genutzt wird.

Wenn Sie jedoch dynamische DNS-Aktualisierungen verwenden, muss sich diese auf den Namen des DNS-Servers beziehen, der die Meldungen für dynamische Aktualisierungen erhalten soll.

Siehe auch diesen (abgelaufenen) Internet-Entwurf, in dem das MNAMEFeld ausführlich beschrieben wird und in dem die DNS-UPDATE-Nachricht als einzige aktuelle Verwendung angegeben ist.

Alnitak
quelle
Das ist der Grund. +1 für eine kurze, lesbare Antwort.
womble
Das ist ein ausgezeichneter Punkt ... besonders heutzutage mit Active Directory-integrierten Zonen (die böse sind, imho). Obwohl es keine Rolle spielt, ob Sie sich ausschließlich auf MS DNS-Server verlassen oder nicht (wir nicht), muss die SOA auf den AD-Controller verweisen, der mit einer ADI-Zone die AD-Box sein sollte, die Ihrer Anfrage am nächsten kommt.
Greeblesnort
2
Diese Antwort ist verwirrend.
Briankip
1
@Alnitak Ich bin nicht sicher, wie Ihre Antwort die NS-Datensätze mit dem SOA-Datensatz in Beziehung setzt ...?
Howiecamp
1
@Alnitak Möglicherweise möchten Sie diesen Punkt in Ihrer Antwort angeben, da einem Leser, der die Antwort noch nicht kennt, diese Tatsache aus Ihrer Antwort nicht klar hervorgeht. Schlagen Sie einfach vor, dass "sie nicht direkt verwandt sind" ganz oben auf Ihrer Antwort steht. Ich habe den Schnitt gemacht.
Howiecamp
9

Nameserver-Einträge werden in Ihrer Zonendatei angegeben. Der SOA-Eintrag gibt den primären Nameserver für die Zone an. Es gibt keine automatische Beziehung zwischen den beiden. Hier finden Sie eine gute Lektüre zu SOA-Datensätzen. Die kurze Antwort ist, dass der SOA-Datensatz der gesamte Datensatz ist, der den Namen, die TTL usw. enthält. Außerdem würde ich dringend empfehlen, das O'Reilly DNS & Bind-Buch zu übernehmen. Es ist wirklich sehr nützlich.

Ihre Datensätze jenseits der Root-Server für paulwarnk.com:

paulwarnk.com.      172800  IN  NS  adns.cs.siteprotect.com.
paulwarnk.com.      172800  IN  NS  bdns.cs.siteprotect.com.
;; Received 116 bytes from 192.55.83.30#53(M.GTLD-SERVERS.NET) in 152 ms

paulwarnk.com.      99999   IN  A   69.143.69.166
paulwarnk.com.      99999   IN  NS  adns.cs.siteprotect.com.
paulwarnk.com.      99999   IN  NS  bdns.cs.siteprotect.com.
;; Received 100 bytes from 64.26.28.8#53(adns.cs.siteprotect.com) in 12 ms

Dies bedeutet nun, dass auf den Stammservern adns & bdns.cs.siteprotect.com als Autoritäten für paulwarnk.com aufgeführt sind. Dann gibt es auf diesen Servern (adns & bdns) einen A-Datensatz für den Stammdatensatz, der auf 69.143.69.166 zeigt.

Ich denke, Sie fragen sich, warum die NS-Aufzeichnungen anders zu sein scheinen. Die Antwort ist, dass die NS-Einträge von Ihrem Registrar so festgelegt wurden, dass sie auf die Server verweisen, die für die Zone maßgeblich sind. Diese Ausgabe scheint jedoch auf ein Problem hinzuweisen, da der SOA-Nameserver offenbar nicht auf eine Anfrage nach Ihren Datensätzen reagiert:

; <<>> DiG 9.2.4 <<>> @a.dns.hostway.net paulwarnk.com
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 37849
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;paulwarnk.com.         IN  A

;; Query time: 10 msec
;; SERVER: 66.113.129.243#53(66.113.129.243)
;; WHEN: Mon Nov 16 23:03:04 2009
;; MSG SIZE  rcvd: 31

edit: Die AUTHORITY: 0 bedeutet, dass der Server a.dns.hostway.net nicht autorisierend geantwortet hat. Es scheint ein bisschen offensichtlich, wenn der Abschnitt ANTWORT: 0 vorhanden ist, aber es ist tatsächlich wichtig, zwischen einer autoritativen und einer nicht autoritativen Antwort zu unterscheiden. Die Behörde spricht im DNS darüber, ob dem Server, von dem Sie Ihre Antwort erhalten haben, tatsächlich vertraut werden kann, um zu wissen, wovon er spricht.

Warum ein Server in der SOA aufgeführt ist, weiß ich nicht, warum ich jemals gelesen habe, warum er dort abgelegt wurde, aber dieser Server sollte der Masterserver für die Zone sein, daher Start of Authority oder SOA. Dies ist nicht immer der Fall, da die SOA für mehr als 1400 meiner Domains einen primären Abfrageserver in der SOA auflistet, der eigentliche Autoritätsstart jedoch bei einem versteckten Master liegt, auf den niemand zugreifen kann.

Greeblesnort
quelle
Vielen Dank, das klärt viel auf. Wozu dient es dann, einen primären Nameserver in der SOA anzugeben? Gibt es einen Grund, warum in Ihrer Anfrage AUTHORITY 0 steht? Oh, so viele Fragen. Ich werde das O'Reilly-Buch abholen.
Scraft3613
Ihre Bearbeitung ist falsch. Das AAFlag wird verwendet, um eine maßgebliche Antwort anzuzeigen. AUTHORITY: 0bedeutet einfach, dass im Abschnitt "Autorität" der Antwort keine Antworten vorhanden sind.
Alnitak,
Technisch korrekt, aber ich denke nicht, dass meine Bearbeitung im Kontext falsch ist. Ohne eine aa-Flagge erhalten Sie keine verbindliche Antwort. Vielen Dank, ich habe die Dokumentation
nochmals