DNS: Должны ли имена NS, заданные для зоны, соответствовать именам NS, сообщаемым вышестоящими серверами TLD?

Question

Я заметил, что некоторые поставщики услуг используют службы DNS для доменов своих клиентов с именами NS, заданными для зоны и возвращенными авторитетным сервером имен (в разделе полномочий / записи NS & SOA), которые не соответствуют Имена NS, возвращаемые вышестоящим сервером (например, серверами TLD) и которые использовались для поиска.

Пример:

$ dig the-domain-name-here.com NS

; <<>> DiG 9.4.2-P1 <<>> the-domain-name-here.com NS
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7844
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 2

;; QUESTION SECTION:
;the-domain-name-here.com.          IN      NS

;; ANSWER SECTION:
the-domain-name-here.com.   172370  IN      NS      ns1.service-provider-here.net.
the-domain-name-here.com.   172370  IN      NS      ns2.service-provider-here.net.

;; ADDITIONAL SECTION:
ns1.service-provider-here.net.      7200    IN      A       192.168.100.1
ns2.service-provider-here.net.      7200    IN      A       192.168.100.2

;; Query time: 65 msec
;; SERVER: 192.168.0.1#53(192.168.0.1)
;; WHEN: Wed Mar 11 19:44:00 2009
;; MSG SIZE  rcvd: 118

$ dig @ ns1.service-provider-here.net. the-domain-name-here.com

; <<>> DiG 9.4.2-P1 <<>> @ns1.service-provider-here.net  the-domain-name-here.com
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48010
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;the-domain-name-here.com.          IN      A

;; ANSWER SECTION:
the-domain-name-here.com.   86400   IN      A       192.168.100.3

;; AUTHORITY SECTION:
the-domain-name-here.com.   86400   IN      NS      ns1.different-trade-name.net.
the-domain-name-here.com.   86400   IN      NS      ns2.different-trade-name.net.

;; Query time: 68 msec
;; SERVER: 192.168.100.1#53(192.168.100.1)
;; WHEN: Wed Mar 11 19:46:00 2009
;; MSG SIZE  rcvd: 100

Серверы рДВУ говорят, что сервером имен является ns1.service-provider-here.net, и когда мы ищем имя на этом сервере, он дает достоверный ответ, но в разделе прав доступа выдает другое имя NS (ns1.different trade-name.net).

Есть тысячи доменов, настроенных таким образом. Кажется, это не вызывает никаких проблем, но кажется, что это неправильно.

Это действительно имеет значение? Будет ли когда-нибудь ситуация, когда распознаватели / клиенты будут выполнять дополнительный поиск или даже не смогут разрешить имя из-за этого?

Answer 1

Ну, ответ зависит от точки зрения.

Технически, нет никаких сомнений в том, что любое несоответствие между родителем и зоной является неправильным. Это никогда не должно происходить (некоторые реестры используют автоматические инструменты для проверки, например, Zonecheck in .fr).

Практически это случается довольно часто. Наиболее распространенная причина заключается в том, что люди изменяют записи NS в своей зоне и забывают сообщить реестру (или регистратору, если реестр вынуждает вас пройти посредника) об изменении.

Это действительно имеет значение? Ну, как вы сказали, до тех пор, пока между двумя наборами есть непустое пересечение, оно должно работать. Но на это опасно полагаться, поскольку еще одно изменение и два набора могут быть полностью разделены. Поэтому не стоит соглашаться с расхождением.

С юридической точки зрения дочерняя зона всегда права, записи NS в родительском элементе не являются авторитетными. Решатели должны заменить делегирование списком, найденным в дочерней зоне.

Answer 2

Если родитель имеет действительные записи, относящиеся к DNS-серверам, которые являются полномочными для зоны, то разрешение должно в основном работать.

Я могу вспомнить хотя бы один случай, когда они могли бы быть проблемой, если у вас были разные записи и пара других неправильных конфигураций.

Проблема будет связана с тем, как сервер имен отправляет уведомления при обновлении зоны. Например, когда вы используете связывание на основном DNS-сервере, вы обновляете зону, а затем перезагружаете, связывание будет отправлять уведомления об обновлении всем серверам, перечисленным в зоне. Если бы это был другой авторитетный сервер, не имеющий записи NS в основной зоне, он бы не получил уведомление и имел бы более старые данные. Если родители указывают на этот сервер, который не получает обновления, у вас могут возникнуть проблемы, поскольку этот сервер будет предоставлять результаты, не соответствующие данным.

Кроме того, имейте в виду, что существует такая вещь, как DNS с разделенным горизонтом. Иногда вам нужно предоставить другой вид вашей зоны вашим внутренним хостам, которые находятся внутри вашей сети, в отличие от того, что вы отображаете для публики. Когда вы сравниваете записи сервера имен, убедитесь, что вы просматриваете зону с той же точки зрения.