2. 질의 응답
  3. DNS : 영역에 설정된 NS 이름이 업스트림 TLD 서버에서보고 한 NS 이름과 일치해야합니까?

DNS : 영역에 설정된 NS 이름이 업스트림 TLD 서버에서보고 한 NS 이름과 일치해야합니까?

2009-03-11 2 views
3

여러 서비스 제공 업체가 해당 영역에 대해 설정된 NS 이름을 사용하여 고객의 도메인에 대해 DNS 서비스를 운영하고 있고 NS와 일치하지 않는 권한있는 이름 서버 (기관 섹션/NS & SOA 레코드)가 반환 한 것으로 나타났습니다 업스트림 서버에서 반환 한 이름 (예 : TLD 서버) 및 조회에 사용 된 이름DNS : 영역에 설정된 NS 이름이 업스트림 TLD 서버에서보고 한 NS 이름과 일치해야합니까?

예 :

$ 발굴 the-domain-name-here.com NS

; <<>> DiG 9.4.2-P1 <<>> the-domain-name-here.com NS 
;; global options: printcmd 
;; Got answer: 
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7844 
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 2 

;; QUESTION SECTION: 
;the-domain-name-here.com.   IN  NS 

;; ANSWER SECTION: 
the-domain-name-here.com. 172370 IN  NS  ns1.service-provider-here.net. 
the-domain-name-here.com. 172370 IN  NS  ns2.service-provider-here.net. 

;; ADDITIONAL SECTION: 
ns1.service-provider-here.net.  7200 IN  A  192.168.100.1 
ns2.service-provider-here.net.  7200 IN  A  192.168.100.2 

;; Query time: 65 msec 
;; SERVER: 192.168.0.1#53(192.168.0.1) 
;; WHEN: Wed Mar 11 19:44:00 2009 
;; MSG SIZE rcvd: 118

$ @ ns1.service-provider-here.net을 파고. the-domain-name-here.com

; <<>> DiG 9.4.2-P1 <<>> @ns1.service-provider-here.net the-domain-name-here.com 
; (1 server found) 
;; global options: printcmd 
;; Got answer: 
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48010 
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0 
;; WARNING: recursion requested but not available 

;; QUESTION SECTION: 
;the-domain-name-here.com.   IN  A 

;; ANSWER SECTION: 
the-domain-name-here.com. 86400 IN  A  192.168.100.3 

;; AUTHORITY SECTION: 
the-domain-name-here.com. 86400 IN  NS  ns1.different-trade-name.net. 
the-domain-name-here.com. 86400 IN  NS  ns2.different-trade-name.net. 

;; Query time: 68 msec 
;; SERVER: 192.168.100.1#53(192.168.100.1) 
;; WHEN: Wed Mar 11 19:46:00 2009 
;; MSG SIZE rcvd: 100

서버 이름 서버가 ns1.service-provider-here.net이며, 우리는 해당 서버에서 이름을 조회 할 때, 그것은 권위있는 대답을 제공 말하는 gTLD를하지만, (ns1.different-trade-name.net)에서 다른 NS 이름을 누설합니다.

이렇게 구성된 도메인은 수천 가지입니다. 문제를 일으키지 않는 것 같지만 잘못된 것 같습니다.

실제로 중요한가요? 해결사/고객이 추가 조회를 수행하거나이 때문에 이름을 확인하지 못하는 상황이있을 수 있습니까?

출처

2009-03-11 Kristian B

답변

2

부모가 영역에 대한 권한을 가진 DNS 서버를 참조하는 유효한 레코드를 가지고 있으면 대부분 해결해야합니다.

다른 레코드와 몇 가지 다른 구성이있는 경우 문제가 될 수있는 경우가 하나 이상 있다고 생각할 수 있습니다.

이 문제는 영역이 업데이트 될 때 이름 서버가 보내는 방법과 관련이 있습니다. 예를 들어 주 DNS 서버에서 바인드를 사용하는 경우 영역을 업데이트 한 다음 다시로드하면 바인드는 영역에 나열된 모든 서버에 업데이트 알림을 보냅니다. 다른 신뢰할 수있는 서버가 주 영역에 NS 레코드를 가지고 있지 않은 경우 알림을받지 못하고 오래된 데이터를 갖게됩니다. 부모가이 서버를 가리키는 곳에서 업데이트를 얻지 못하면 서버가 데이터 결과를 제공하지 않기 때문에 문제가 발생할 수 있습니다.

또한 'split-horizon'DNS와 같은 것이 있음을 명심하십시오. 때로는 네트워크 내부에있는 내부 호스트에 다른 영역의보기를 제공해야합니다. 네임 서버 레코드를 비교할 때 동일한 관점에서 영역을 확인해야합니다.

출처

2009-03-11 21:10:50 Zoredache

3

글쎄, 대답은 관점에 달려 있습니다.

기술적으로 부모와 영역 간의 불일치가 잘못되었다는 것은 의심의 여지가 없습니다. 절대로 안됩니다 (일부 레지스트리에서는 자동 도구를 사용하여 예를 들어 Zonecheck.fr으로 확인합니다).

실제로는 매우 자주 발생합니다. 가장 흔한 원인은 사람들이 자신의 영역에서 NS 레코드를 변경하고 변경 사항에 대해 레지스트리 (또는 등록 기관이 중개자를 통과하도록 강요하는 경우 레지스트라)에게 알려주는 것을 잊어 버리는 것입니다.

정말 중요한가요? 당신이 말했듯이, 두 세트 사이에 비어 있지 않은 교차가있는 한, 그것은 작동해야합니다.하지만 한 번 더 변경하고 두 세트를 완전히 분리 할 수 ​​있기 때문에 의존하는 것은 위험합니다. 따라서 불일치를 수용하는 것은 좋지 않습니다.

법적으로 말하자면, 자식 영역은 항상 올바르며, 부모의 NS 레코드는 권한이 없습니다. 해결사는 위임을 하위 영역에서 찾은 목록으로 대체해야합니다.

출처

2009-03-12 10:56:24 bortzmeyer

+0

실제로 부모 영역의 "추천"은 필요하지만 확실하지 않습니다. 실제 이름 서버 만 헤더에 설정된 "AA"비트를 사용하여 신뢰할 수있는 응답을 되돌릴 수 있습니다. – Alnitak

관련 문제

 관련 문제