1. ホーム
  2. 質問と答え
  3. DNS:ゾーンに設定されたNS名は、アップストリームTLDサーバによって報告されたNS名と一致する必要がありますか?

DNS:ゾーンに設定されたNS名は、アップストリームTLDサーバによって報告されたNS名と一致する必要がありますか?

2009-03-11 6 views
3

私は、いくつかのサービスプロバイダが、そのドメインにNS名が設定され、NSと一致しない権限ネームサーバ(権限セクション/ NS & SOAレコード)によって返された、クライアントドメインのDNSサービスを運用していることに気付きましたアップストリームサーバー(TLDサーバーなど)から返された名前で、ルックアップに使用されたものです。DNS:ゾーンに設定されたNS名は、アップストリームTLDサーバによって報告されたNS名と一致する必要がありますか?

例:

$掘るthe-domain-name-here.com NS

; <<>> DiG 9.4.2-P1 <<>> the-domain-name-here.com NS 
;; global options: printcmd 
;; Got answer: 
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7844 
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 2 

;; QUESTION SECTION: 
;the-domain-name-here.com.   IN  NS 

;; ANSWER SECTION: 
the-domain-name-here.com. 172370 IN  NS  ns1.service-provider-here.net. 
the-domain-name-here.com. 172370 IN  NS  ns2.service-provider-here.net. 

;; ADDITIONAL SECTION: 
ns1.service-provider-here.net.  7200 IN  A  192.168.100.1 
ns2.service-provider-here.net.  7200 IN  A  192.168.100.2 

;; Query time: 65 msec 
;; SERVER: 192.168.0.1#53(192.168.0.1) 
;; WHEN: Wed Mar 11 19:44:00 2009 
;; MSG SIZE rcvd: 118

$ @ ns1.service-provider-here.netを掘ります。 the-domain-name-here.com

; <<>> DiG 9.4.2-P1 <<>> @ns1.service-provider-here.net the-domain-name-here.com 
; (1 server found) 
;; global options: printcmd 
;; Got answer: 
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48010 
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0 
;; WARNING: recursion requested but not available 

;; QUESTION SECTION: 
;the-domain-name-here.com.   IN  A 

;; ANSWER SECTION: 
the-domain-name-here.com. 86400 IN  A  192.168.100.3 

;; AUTHORITY SECTION: 
the-domain-name-here.com. 86400 IN  NS  ns1.different-trade-name.net. 
the-domain-name-here.com. 86400 IN  NS  ns2.different-trade-name.net. 

;; Query time: 68 msec 
;; SERVER: 192.168.100.1#53(192.168.100.1) 
;; WHEN: Wed Mar 11 19:46:00 2009 
;; MSG SIZE rcvd: 100

サーバはネームサーバがns1.service-provider-here.netであり、我々はそのサーバーで名前を検索するとき、それは権威ある答えを与えると言うのgTLDが、権限セクション(ns1.different-trade-name.net)に別のNS名がリークします。

このようにして数千のドメインが構成されています。それは問題を引き起こすようには見えないが、それは間違っているようだ。

実際に問題がありますか?レゾルバ/クライアントが余分な検索をしたり、名前の解決に失敗したりする状況がありますか?

出典

2009-03-11 Kristian B

答えて

2

ゾーンの権限を持つDNSサーバーを参照している親が有効なレコードを持っている場合は、ほとんどの場合解決が必要です。

私は、あなたが異なるレコードといくつかの他のミスコンフィギュレーションを持っていれば、少なくとも1つのケースが問題になるかもしれないと考えることができます。

この問題は、ゾーンが更新されたときにネームサーバーが通知を送信する方法に関連しています。たとえば、プライマリDNSサーバでバインドを使用している場合、ゾーンを更新してからリロードすると、バインドはゾーンにリストされているすべてのサーバにアップデート通知を送信します。他の正式なサーバーがプライマリゾーンにNSレコードを持っていなかった場合、通知を受け取れず、古いデータを持つことになります。更新を取得していないこのサーバーを指している親があれば、そのサーバーはデータ結果を提供しないため、問題が発生する可能性があります。

また、「split-horizo​​n」DNSのようなものがあることに注意してください。場合によっては、ネットワーク内にある内部ホストに、ゾーンのさまざまなビューを提供する必要があります。ネームサーバーのレコードを比較するときは、同じ観点からゾーンを表示するようにしてください。

出典

2009-03-11 21:10:50 Zoredache

3

まあ、答えは視点によって異なります。

技術的には、親とゾーンの間の矛盾が間違っていることは間違いありません。 (例えば、Zonecheck.frのような自動ツールを使用しているレジストリもあります)。

実際、それはかなり頻繁に起こります。最も一般的な原因は、人々が自分のゾーンでNSレコードを変更し、変更についてレジストリ(レジストラが仲介業者を通過させる場合はレジストラ)に伝えるのを忘れてしまうことです。

本当に問題はありますか?あなたが言ったように、2つのセットの間に空でない交差がある限り、それはうまくいくはずです。しかし、もう1つの変更と2つのセットが完全に分離されているので、それに頼るのは危険です。だから、不一致を受け入れることは良い考えではありません。

法的には、子ゾーンは常に正しいですが、親のNSレコードは信頼できません。解決者は、委任を子ゾーンで見つかったリストで置き換える必要があります。

出典

2009-03-12 10:56:24 bortzmeyer

+0

実際には、親ゾーンの「紹介」は必要ですが、決定的なものではありません。実際のネームサーバだけが、ヘッダーに設定された "AA"ビットを持つ信頼できる回答を返すことが許されます。 – Alnitak

関連する問題

 関連する問題