DNS-направление / делегирование: какой DNS отвечает; Как правильно делегировать путь?

Вступление

Я купил домен http://earechnung.at/ с помощью Hetzner и использую свое веб-пространство в All-Inkl. Я хочу использовать серверы имен моего веб-хоста (All-Inkl).

Зональные файлы и серверы имен

Поскольку я зарегистрировал домен в Hetzner, в nic.at (реестр доменов Австрии) перечислены следующие серверы имен (все из Hetzner):

Сервер имен (имя хоста) 1: ns.second-ns.com
Nameserver (имя хоста) 2: ns1.your-server.de
Сервер имен (имя хоста) 3: ns3.second-ns.de

Зональный файл в Хецнере

Зональный файл в Hetzner теперь выглядит следующим образом:

$TTL 7200
@   IN SOA ns5.kasserver.com. office.earechnung.at. (
    2014030300   ; serial
    14400        ; refresh
    1800         ; retry
    604800       ; expire
    86400 )      ; minimum

@                        IN NS      ns6.kasserver.com.
@                        IN NS      ns5.kasserver.com.

@                        IN A       85.13.135.165
mail                     IN A       85.13.135.165
www                      IN A       85.13.135.165
w3                       IN A       85.13.135.165
ftp                      IN CNAME   www
imap                     IN CNAME   mail
pop                      IN CNAME   mail
relay                    IN CNAME   mail
smtp                     IN CNAME   mail
@                        IN MX 10   mail

Поэтому я хотел передать все на сервер имен All-Inkl (ns5/6.kasserver.com). Поэтому я упомянул их как SOA и NS. Однако, похоже, что Hetzner DNS напрямую отвечает на запросы.

All-Inkl Zonefile

Система администрирования All-Inkl выглядит следующим образом для DNS: All-Inkl Система администрирования DNS

DNS-запросы

nslookup из моего клиента Windows 

>nslookup -type=A -debug w3.earechnung.at.
------------
...
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 2, rcode = NOERROR
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 1,  authority records = 2,  additional = 2

    QUESTIONS:
        w3.earechnung.at, type = A, class = IN
    ANSWERS:
    ->  w3.earechnung.at
        internet address = 85.13.135.165
        ttl = 4933 (1 hour 22 mins 13 secs)
    AUTHORITY RECORDS:
    ->  earechnung.at
        nameserver = ns5.kasserver.com
        ttl = 4608 (1 hour 16 mins 48 secs)
    ->  earechnung.at
        nameserver = ns6.kasserver.com
        ttl = 4608 (1 hour 16 mins 48 secs)
    ADDITIONAL RECORDS:
    ->  ns5.kasserver.com
        internet address = 85.13.128.3
        ttl = 3758 (1 hour 2 mins 38 secs)
    ->  ns6.kasserver.com
        internet address = 85.13.159.101
        ttl = 2220 (37 mins)

------------
Nicht autorisierende Antwort:
Name:    w3.earechnung.at
Address:  85.13.135.165

Онлайн трассировка

При отслеживании DNS-файла с помощью simpledns.com выдается следующее:

Отслеживание делегирования DNS для "w3.earechnung.at":

Загрузка списка корневых серверов (статические данные):
-> a.root-servers.net (198.41.0.4)
-> b.root-servers.net (192.228.79.201)
-> c.root-servers.net (192.33.4.12)
-> d.root-servers.net (128.8.10.90)
-> e.root-servers.net (192.203.230.10)
-> f.root-servers.net (192.5.5.241)
-> g.root-servers.net (192.112.36.4)
-> h.root-servers.net (128.63.2.53)
-> i.root-servers.net (192.36.148.17)
-> j.root-servers.net (192.58.128.30)
-> k.root-servers.net (193.0.14.129)
-> l.root-servers.net (199.7.83.42)
-> m.root-servers.net (202.12.27.33)
Отправка запроса на "f.root-servers.net" (192.5.5.241)
Получил реферальный ответ - DNS-серверы для "at":
-> r.ns.at (194.0.25.10)
-> d.ns.at (81.91.161.98)
-> ns9.univie.ac.at (194.0.10.100)
-> u.ns.at (195.66.241.82)
-> ns1.univie.ac.at (78.104.144.2)
-> n.ns.at (81.91.173.130)
-> j.ns.at (194.146.106.50)
-> ns2.univie.ac.at (192.92.125.2)
Отправка запроса на "n.ns.at" (81.91.173.130)
Получил реферальный ответ - DNS-серверы для "earechnung.at":
-> ns3.second-ns.de (без IP-адреса)
-> ns.second-ns.com (без IP-адреса)
-> ns1.your-server.de (без IP-адреса)
Попытка разрешить имя DNS-сервера "ns1.your-server.de" (подробности не зарегистрированы)
Разрешенное имя DNS-сервера "ns1.your-server.de" для IP-адреса 213.133.106.251
Отправка запроса на "ns1.your-server.de" (213.133.106.251)
Получил авторитетный (АА) ответ:
-> Ответ: A-запись для w3.earechnung.at = 85.13.135.165
-> Полномочия: NS-запись для earechnung.at = ns5.kasserver.com
-> Полномочия: NS-запись для earechnung.at = ns6.kasserver.com
Отслеживание делегирования DNS для другого доменного имени

Вопросы

Мои вопросы сейчас:

  1. Есть ли лучшая практика для этого сценария (домен с хостером A, веб-пространство с хостером B)?
    1. Должен ли я дать SOA Hetzner dns или all-inkl?
    2. Должен ли я сменить сервер имен напрямую на nic.at?
    3. В моем понимании я не предоставил клейкую запись (запись A) для ns5 и ns6.kasserver.com. Нужен ли он мне или это делается автоматически?
  2. Что если я захочу использовать что-то вроде CloudFlare? Как лучше всего работает делегирование между Hetzner, All-Inkl и Cloudflare?
  3. Какой сервер на самом деле отвечает на запрос?
    1. Если я запрашиваю w3.earechnung.at, который вводится на обоих серверах DNS, мне кажется, что Hetzners ns1.your-server.de отвечает неавторизованным ответом и заявляет, что ns5.kasserver.com является авторизованным). Я прав?
    2. Если я запрашиваю ai.earechnung.at, который зарегистрирован только на DNS-сервере All-Inkls, я получаю что-то вроде ai.earechnung.at. wurde von UnKnown nicht gefunden: несуществующий домен или сервер не может найти ai.earechnung.at: NXDOMAIN
  4. Я думаю, что я делегировал весь сайт DNS-серверу all-inkl. Это правильно или есть лучший способ? Нужно ли настраивать каждый поддомен на сервере all-inkl?

Исследование

Я также посмотрел на следующие вопросы, но не смог найти ответ (или, по крайней мере, не понял его):

Источник

1 ответ

Решение

Во-первых, позвольте мне поздравить вас с тем, что я считаю хорошо написанным, ясным и хорошо изученным вопросом, и за то, что вы не редактировали доменное имя; это последнее очень полезно при ответе.

Позвольте мне рассмотреть существенную проблему, если можно: whois указывает на другой набор серверов имен, чем те, которые вы установили как авторитетные:

[me@risby ~]$ whois earechnung.at
[Querying whois.nic.at]
[...]
domain:         earechnung.at
registrant:     MAT8777331-NICAT
admin-c:        AT8777330-NICAT
tech-c:         MH536567-NICAT
nserver:        ns1.your-server.de
nserver:        ns3.second-ns.de
nserver:        ns.second-ns.com
changed:        20121004 15:29:23
source:         AT-DOM

Обратите внимание на три перечисленных сервера. Я свободно признаю, что у вас есть эти серверы, настроенные для обслуживания записей NS, которые указывают на запрос в другом месте, - но вы также настроили их на данные для ответа на полномочный запрос, и их сервер считает себя авторитетным для зоны и поэтому может законно возвращать авторитетные отрицательные ответы для тех РР, о которых он не знает. В этом случае нужно вернуться к регистратору, который, как мне кажется, в данном случае Хецнер, и изменить записи сервера имен не на своем DNS-сервере, а на сервере регистрации - устройстве, которое заполняет whois за .at. - вернуть ваши два новых сервера ns5.kasserver.com. а также ns6.kasserver.com.

Бизнес обслуживания набора записей NS для делегирования подзоны прекрасно работает, когда он используется для этого: делегировать подзону той, которая следовала текущему набору серверов имен. Используя их больше как HTTP 301 редирект необычен, и, как вы обнаружили, может не работать идеально.

Что касается наилучшей практики, то совершенно нормально использовать одного провайдера для регистрации, а другого для предоставления DNS. Тем не менее, эти две задачи часто настолько тесно взаимосвязаны, что некоторые регистраторы не могут справиться с наличием зарегистрированной зоны на каких-либо DNS-серверах, кроме своих собственных. Если Hetzner является одним из таких, вам нужно будет перенести регистрацию домена на другого регистратора.

Источник
Другие вопросы по тегам