Когда мне нужна A-запись для NS для субдомена
Я пытаюсь ответить на следующий вопрос:
У меня есть домен example.com с поддоменом: subdomain.example.com, который реализован как собственная зона. У меня также есть NS1 для example.com и NS2 как уполномоченный для subdomain.example.com Если я хочу получить доступ к записи в subdomain.example.com от example.com. Когда мне нужна A-запись для NS2 на NS1 или в других случаях, когда NS-запись на NS1 достаточна?
Я искал вокруг и насколько я понимаю: если A-запись для NS2 существует в зоне subdomain.example.com, то мне не нужна дополнительная A-запись в example.com.
Это верно?
Поскольку английский не мой родной язык, я прошу прощения за грамматические ошибки.
2 ответа
NS
а также A
записи совершенно разные и достигают разных целей.
A
запись связывает имя с IP-адресом. NS
запись в основном говорит: эта зона обрабатывается этим сервером имен (name).
Ваш вопрос будет проще, в том числе и для вас, если вы используете настоящие имена.
Если ns1.example.com
а также ns2.example.com
являются именами хостов, это то, что должно быть достижимо, потому что они размещают некоторые службы, то им нужно A
записи (или AAAA
записи, если вы перестанете использовать устаревший Интернет IPv4).
поскольку ns1.example.com
(а также ns2
) находится внутри example.com
zone, файл зоны, размещенный на авторитетных серверах имен зоны example.come
нужно иметь A
запись.
Теперь, если вы говорите, что subzone.example.com
должно быть делегировано (помните, что это не автоматический факт только потому, что существует точка, делегирование происходит только тогда, когда это необходимо и желательно людьми, ответственными за зону, как передача контроля над частью дерева другому объекту), и если ns1
а также ns2.example.com
должны быть авторитетными серверами имен для этой подзоны, тогда вам потребуется NS
записи в example.com
И в subzone.example.com
zonefiles.
А как насчет клея? Это концептуально просто, но, поскольку это может создать проблемы, часто лучше избегать этого маршрута, пока вы не сможете полностью понять, как работает DNS. Если данное доменное имя использует в качестве авторитетных серверов имен некоторые серверы имен, имена хостов которых находятся в той же зоне, то родительскую зону также необходимо публиковать напрямую. A
(или AAAA
) записи для этих имен хостов, иначе разрешение может вообще не произойти.
Сказано иначе, вы хотите решить www.example.com
, а также example.com
имеет ns1.example.com
а также ns2.example.com
что касается авторитетных серверов имен, то следующее (упрощенный процесс происходит):
- Вы (отныне вы фактически являетесь рекурсивным сервером имен, который вы используете) спрашиваете один корневой сервер (чьи IP-адреса жестко заданы и периодически обновляются) о
www.example.com
- корневая зона скажет вам, что она ничего не знает об этом имени, но знает об авторитетных серверах имен для
.com
поскольку.com
делегируется от.
(корень) - Теперь вы повторяете свой запрос, но на этот раз к одному из авторитетных серверов имен для
com
: они скажут вам, что ничего не знают оwww.example.com
но они знают оexample.com
поскольку он делегирован; следовательно, он вернет вам набор авторитетных серверов именexample.com
- на данный момент, если вы получили только
ns1.example.com
а такжеns2.example.com
чтобы иметь возможность связаться с ними, чтобы спросить их оwww.example.com
вам, очевидно, сначала нужно разрешить их имена, для чего вам, конечно, нужно будет вернуться с первой точки в этом списке... следовательно, вы видите тупик - в действительности по этой конкретной причине, на шаге 3, авторитетные серверы имен для
.com
даст вам оба набора авторитетных серверов имен дляexample.com
И их IP-адреса, которые называют клеевыми записями:A
/AAAA
записи в родительской зоне, необходимые для разрешения проблемы.
Вы можете увидеть точно такой же процесс, если вы используете dig +trace
,
PS: то, что обычно упрощает понимание системы, - это помнить, что ни один узел не является особенным в дереве (кроме корневого, если хотите), и что-либо может происходить таким же образом на любом "уровне" или глубине дерева.
Если вы используете серверы Windows, то вы правы. Пока NS1 и NS2 находятся в одном лесу AD, никакие другие настройки DNS не требуются для выполнения того, что вам нужно.