Nis*_*han 30 networking domain-name-system bind
在回答我之前的问题时,我注意到以下几行:
大多数家庭用户设置通常会破坏授权的最后阶段。他们已经通过注册商/服务提供商购买了域,但随后未能配置域以将委托指向他们自己的名称服务器。实际上,您必须先告诉注册服务商您的域名服务器在哪里,然后他们才能放置胶水记录以使您的授权步骤发挥作用。
什么是 DNS 委托?它是如何工作的?对假设域的完整解释abc.com会有所帮助。
小智 37
从物理上讲,委派与经理将任务责任委派给员工的方式非常相似。结果是一样的,但是有不止一个人参与了这个过程。经理收到工作请求,将责任转交给另一名员工,然后该员工或经理带着工作结果返回。这一切的前提是工作人员所做的工作实际上是正确的,并且是原始请求者所要求的(或者请求者实际上首先要求的是有效的东西!)。
对于 DNS 委托,它非常相似。当com名称服务器被要求提供查找区域权限的位置时example.com,它们通常将这项工作委托给单独的名称服务器(实际上在绝大多数情况下,它们实际上确实将响应委托给其他名称服务器)。当您第一次注册域时,比如我们的example.com域,这通常是通过称为注册商的第三方完成的。注册商通常的做法是为授权放入其名称服务器,并从这些名称服务器提供默认区域。此默认区包括基本要求,以满足该区域的互联网(在上SOA,NS并且A关联到这些NS记录的记录)。
显然,如果您自己想控制域的权限,则必须要求注册商将域委托给您的名称服务器。不同的注册商以不同的方式在处理过程中对此进行引用,例如“更改名称服务器”、“使用第三方 DNS”、“添加 Glue 记录”等。下面的机制保持不变。您提供的,一般2个或多个“名称服务器名称”(例如ns0.example.com和ns1.example.com)和IP地址在此ns0和ns1是。然后他们处理请求,并且将委托从您的注册商指向您提供的名称服务器。
在技术术语中,此时您必须确保您的名称服务器启动并运行,为域提供服务example.com,至少有一个SOA(授权记录的开始)、1 个或多个NS记录以及A这些 NS 记录的记录(IP)解决从:
example.com. IN SOA ns0.example.com. hostmaster.example.com. ( 10 3600 900 604800 7200 )
IN NS ns0.example.com.
IN NS ns1.example.com.
ns0 IN A 192.0.2.8
ns1 IN A 192.0.2.44
(我为 SOA 值、NS 记录的名称和这些名称服务器解析为的 IP 选择了一些任意值)。这些都必须反映您所服务的区域。
此 DNS 服务必须在 Internet 上的任何位置都可见,并且没有防火墙(即必须允许端口 53 udp 和 tcp 入站)。此外,您的服务提供商也不得阻止该端口(某些提供商确实阻止了发往这些端口的入站流量)。
鉴于我最初的比较,com域名服务器是 DNS 管理员,他们将区域委托example.com给域名服务器(工作人员)来完成提供基本区域信息 ( SOA, NS, A) 的工作。您还可以提供任何其他记录,例如邮件服务器记录,MX或者可能是A您www.example.com地址的记录。
如果该名称服务器不工作,返回错误的结果,或者有第三方(防火墙/ISP)阻止工作,您将无法使用 DNS,并且委托会中断。
这也可能是值得注意的是,域没有在同一个域中委托给域名服务器,所以ns0.example.net并ns0.example.org可以都谁能够有效的域名服务器example.com委托给他们。如果这两个名称服务器都为example.com域提供服务。
需要多个名称服务器的原因是为 DNS 客户端提供冗余,这对于不中断的互联网很重要。
在您的域中,您可以根据需要定义主机,例如mymailserver. 要连接到您的邮件服务器,我需要使用 DNS 来确定其 IP 地址,为此我需要知道我应该在名称树中查找的位置mymailserver。
听起来很复杂,但这正是我们使用“完全限定域名”(FQDN)的目的。如果您mymailserver在域中定义主机,abc.com.该主机具有 FQDN mymailserver.abc.com.。有了这些信息,我可以将该名称解析为正确的 IP 地址。
您不必创建表单的所有主机<hostname>.abc.com.,您也可以根据需要进行分支。例如,您可以拥有servers.abc.com.并放置所有服务器mymailserver.servers.abc.com.。您可以这样做,因为域abc.com.已委托给您。这意味着您有权要求任何以abc.com.. 因此,您可以根据自己的内容定义主机和分支子域。
委派意味着域所有者将分支的完全控制权交给其他人。就像com.将子域的所有者委托abc.com.给您一样,您可以分支子域,例如def.abc.com.,将其委托给我。在我的领域内,我可以做/定义我想要/喜欢的任何事情,而无需询问或告诉您甚至com.所有者。
它是如何工作的?您只需在您的 DNS 记录中输入一条信息,上面写着“有关信息,def.abc.com请询问 DNS 服务器hisdnsserver.def.abc.com.”。当然,要查询该服务器,需要知道 的 IP 地址hisdnsserver.def.abc.com.。这就是胶水唱片的用途。您实际上输入了 2 条信息,一条是刚才所说的,另一条是hisdnsserver.def.abc.com.. 通过这种方式,您可以向任何人提供有关def.abc.com.足够信息的问题,以将他们指向该子域的权限。
为什么程序首先会问你def.abc.com.?因为你是权威abc.com.和权威com.给了请求者两条关于yourdnsserver和的信息abc.com.......
小智 5
就 DNS 而言,委派意味着您上面层次结构中的名称服务器将通过响应来回答对您的域的每个请求NS。
所以如果abc.com你会这样做:
$ dig com.
=>
com. 896 IN SOA a.gtld-servers.net. ...
然后专门查询该名称服务器abc.com:
$ dig abc.com @a.gtld-servers.net.
=>
;; AUTHORITY SECTION:
abc.com. 172800 IN NS sens01.dig.com.
abc.com. 172800 IN NS sens02.dig.com.
abc.com. 172800 IN NS orns01.dig.com.
abc.com. 172800 IN NS orns02.dig.com.
胶水记录意味着除了您的名称服务器的主机名之外,.com权威机构还知道它们的 IP 地址。
如果胶水记录设定,上面的查询会也给你A/AAAA每个域名服务器的响应。