Что такое делегирование DNS?
В ответ на мой предыдущий вопрос я заметил следующие строки:
Обычно это последний этап делегирования, который нарушается большинством настроек домашних пользователей. Они прошли через процесс покупки домена у регистратора / поставщика услуг, но затем не смогли настроить домен для направления делегирования на свои собственные серверы имен. На самом деле вы должны сообщить регистратору, где находятся ваши серверы имен, прежде чем они смогут разместить склеенные записи, чтобы заставить ваш шаг делегирования работать.
Что такое делегирование DNS? Как это работает? Полное объяснение гипотетической области abc.com было бы полезно.
3 ответа
В физическом плане делегирование очень похоже на то, как руководитель делегирует ответственность за задачи своему персоналу. Результаты одинаковы, однако в процессе участвовало более одного человека. Менеджер получает запрос на работу, передает ответственность другому сотруднику, и либо сотрудник, либо менеджер возвращаются с результатами работы. Это все при условии, что работа, которую выполняет сотрудник, является действительно правильной и является тем, о чем просил первоначальный запрашивающий (или что запрашивающий фактически запрашивал что-то, что было допустимо в первую очередь!).
С делегированием DNS это очень похоже. Когда com серверы имен спрашивают место, где можно найти полномочия зоны example.comони часто делегируют эту работу отдельным серверам имен (фактически в подавляющем большинстве случаев они фактически делегируют ответ другим серверам имен). Когда вы впервые регистрируете домен, говорите, что наш example.com домен, это часто делается через третью сторону, называемую регистратором. Обычно регистраторы устанавливают свои серверы имен для делегирования и обслуживают зону по умолчанию с этих серверов имен. Эта зона по умолчанию включает в себя основные требования для обслуживания этой зоны в Интернете (SOA, NS а также A записи, связанные с этими записями NS).
Очевидно, что если вы сами хотите взять под контроль полномочия домена, вам следует попросить регистратора вместо этого делегировать домен вашему серверу имен. Различные регистраторы обращаются к этому в процессе по-разному: "изменить серверы имен", "использовать сторонние DNS", "добавить записи клея" и так далее. Механизм внизу остается прежним. Вы предоставляете, как правило, 2 или более "имен серверов имен" (например, ns0.example.com а также ns1.example.com) и IP-адреса, по которым ns0 а также ns1 являются. Затем они обрабатывают запрос, и делегирование направляется от вашего регистратора на предоставленные вами серверы имен.
С технической точки зрения, именно в этот момент вы должны убедиться, что ваши серверы имен запущены и работают, обслуживая домен. example.comс минимумом SOA (начало авторитетной записи), 1 или более NS записи и A записи (IP), из которых эти записи NS разрешены:
example.com. IN SOA ns0.example.com. hostmaster.example.com. ( 10 3600 900 604800 7200 )
IN NS ns0.example.com.
IN NS ns1.example.com.
ns0 IN A 192.0.2.8
ns1 IN A 192.0.2.44
(Я выбрал несколько произвольных значений для значений SOA, имен для записей NS и IP-адресов, которые разрешают серверы имен). Все это должно отражать зону, для которой вы служите.
Эта служба DNS должна быть видна из любого места в Интернете и не должна быть защищена брандмауэром (т. Е. Должен быть разрешен входящий порт udp 53 и tcp). Ваш поставщик услуг также не должен блокировать этот порт (который некоторые поставщики блокируют входящий трафик, предназначенный для этих портов).
Учитывая мое оригинальное сравнение, com серверы имен - это менеджеры DNS, которые делегируют зону example.com серверам имен (сотрудникам) выполнять работу по предоставлению основной информации о зоне (SOA, NS, A). Вы также можете обслуживать любые дополнительные записи, такие как записи почтового сервера MX или может быть A запись для вашего www.example.com адрес.
Если этот сервер имен не выполняет работу, возвращает неправильные результаты или имеет стороннюю систему (брандмауэр /ISP), блокирующую работу, у вас не будет рабочего DNS и перерывы делегирования.
Также стоит отметить, что домен НЕ должен быть делегирован серверам имен в одном домене, поэтому ns0.example.net а также ns0.example.org оба могут быть действительными именами, которые могут иметь example.com делегирован им. При условии, что оба этих сервера имен обслуживали example.com домен.
Делегирование с точки зрения DNS означает, что сервер имен в иерархии выше вас ответит на каждый запрос к вашему домену с NS ответ.
Так что в случае abc.com вы бы сделали:
$ dig com.
=>
com. 896 IN SOA a.gtld-servers.net. ...
Затем запросите этот сервер имен специально для abc.com:
$ dig abc.com @a.gtld-servers.net.
=>
;; AUTHORITY SECTION:
abc.com. 172800 IN NS sens01.dig.com.
abc.com. 172800 IN NS sens02.dig.com.
abc.com. 172800 IN NS orns01.dig.com.
abc.com. 172800 IN NS orns02.dig.com.
Клеевые записи означают, что в дополнение к именам хостов ваших серверов имен, .com Авторитет также знает об их IP-адресах.
Если склеены записи, вышеупомянутый запрос также даст вам A/AAAA ответы для каждого из серверов имен.
В вашем домене вы можете определить хосты, как вам нравится, например mymailserver, Чтобы подключиться к вашему почтовому серверу, мне нужно использовать DNS, чтобы определить его IP-адреса, и для этого мне нужно знать, где в дереве имен я должен искать mymailserver,
Звучит сложно, но это именно то, для чего мы используем "полное доменное имя" (FQDN). Если вы определите хост mymailserver в вашем домене abc.com. этот хост имеет полное доменное имя mymailserver.abc.com., С этой информацией я могу преобразовать это имя в правильный IP-адрес.
Вам не нужно создавать все хосты вида <hostname>.abc.com.Вы также можете переходить по своему усмотрению. Вы можете иметь servers.abc.com. и поместите все свои серверы там, например mymailserver.servers.abc.com., Вы можете сделать это, потому что домен abc.com. был делегирован вам. Это означает, что вы имеете право запрашивать любой домен и доменное имя, которое заканчивается abc.com., Поэтому вы можете определить хосты и дочерние субдомены для вашего сердца.
Делегирование означает, что владелец домена предоставляет полный контроль над веткой кому-либо еще. Так же, как владелец com. делегировать поддомен abc.com. для вас, вы можете перейти от поддоменов, например, def.abc.com. и делегировать это мне. В моем домене я могу делать / определять все, что хочу / нравится, без необходимости спрашивать или говорить вам или даже com. Владельцы о.
Как это работает? Вы просто помещаете часть информации в свои записи DNS с надписью "для получения информации о def.abc.com пожалуйста, спросите DNS-сервер hisdnsserver.def.abc.com.". Конечно, для запроса этого сервера необходимо знать IP-адрес hisdnsserver.def.abc.com., Вот для чего нужны клейкие записи. Вы фактически помещаете 2 фрагмента информации, один из которых только что заявлен, а другой является IP-адресом hisdnsserver.def.abc.com., Таким образом, вы задаете кому-либо вопрос о def.abc.com. с достаточным количеством информации, чтобы указать им полномочия для этого субдомена.
Почему программы спрашивают вас о def.abc.com. на первом месте? Потому что вы авторитет для abc.com. и власть для com. дал запрашивающему две части информации о yourdnsserver а также abc.com....