在以下网址查找我的域名http://www.intodns.com/我注意到了以下两条消息:
在父部分中:
DNS 父级发送 Glue 父级名称服务器 g.gtld-servers.net 不会为列出的每个名称服务器发送 GLUE,这意味着他会发送您的名称服务器主机名,而不会发送这些名称服务器的 A 记录。没关系,但您必须知道,这将需要额外的 A 查找,这可能会稍微延迟与您网站的连接。如果您的名称服务器位于不同的 TLD 上(例如,domain.com 的名称服务器为 ns.domain.org),这种情况会经常发生。
在 NS 部分中:
NS 记录的 Glue 信息:当我向您的名称服务器请求您的 NS 记录时,GLUE 未发送。这没问题,但您应该知道,在这种情况下,需要额外的 A 记录查找才能获取您的 NS 记录的 IP。没有 Glue 的名称服务器是:109.230.225.96 84.201.40.52 您可以通过向上述区域的名称服务器添加 A 记录来修复此问题。
我完全理解粘合记录的主要目的是解决循环依赖。
经典用例:
我的域名是 example.com,我想要名称服务器 ns1.example.com。这永远行不通,因为如果我不获取 example.com,我就无法知道 ns1.example.com 的 IP,而为了做到这一点,我需要从 ns1.example.com 获取它。为了解决这个僵局,我向 ns1.example.com 添加了一个包含名称服务器 IP 地址的胶水记录,这样就可以解决了。
因此,如果名称服务器与我要查找的域名位于不同的 TLD 中,则不会出现此问题。但是,要从名称服务器获取区域信息,我需要知道它们的 IP 地址,对吗?为了知道这一点,我需要从名称服务器各自的名称服务器获取名称服务器所在的区域,对吗?(或者说我的 ISP 需要在后台执行此操作)所以额外的查找需要时间吗?
如果我现在有粘合记录,我就可以立即知道 IP 地址而无需查找 - 所以这应该可以加快我的域名解析速度,不是吗?
但是我的 DNS 区域提供商(tecserver.at)回复说
这没有任何意义,因为“我们没有运行 ns1.ourdomain.com 和 ns1.ourdomain.com 作为 ourdomain.com 的权威 NS。
这对于胶水记录来说是唯一的意义。
Tecserver 有一个粘合记录,因为 tecserver.at 的 NS 是 ns1.tecserver.at 和 ns2.tecserver.at。因此,解析时需要一个粘合记录。
答案1
胶水应该仅有的当您的域的名称服务器位于同一个域名内时存在。
从技术上来说,这不是圆问题 - 当两个域名有NS相互指向另一个域名的记录时,就会发生这种情况。这些现在被认为是配置错误。
任何随记录A一起提供的记录NS都应被忽略除非它符合同一域标准如上所述,因为记得“超出管辖范围的胶水”可能会导致类似卡明斯基袭击事件的安全问题。
另请参阅第 5.4.1 节RFC 2181
[换句话说 - 您的 ISP 在这里基本上是正确的,而 intodns.com 的建议是不正确的]。
答案2
是的,粘合记录确实加快了域名解析速度,是的,从技术角度来看,您的提供商的答案是错误的(假设您翻译正确)。
但是,他们的方法是正确的。胶合记录非常流行。是的,它们确实可以为您节省一次查找(有时),相当于节省了 1-200 字节,并且(很少)减少了一些延迟。但是,滥用胶合记录来提高性能所带来的复杂性使收益相形见绌。
确保您使用提供商推荐的名称(ns1.they.com 或 a.ns 或其他)来引用其名称服务器,然后就不用担心了。
答案3
其他答案忘记了一件比速度更重要的事情:正确性。
如果example.com有作为名称服务器,则在对注册表ns1.example.com进行查询时,将在答案部分中发送,并在 DNS 数据包的附加部分中发送粘合记录(和)。NSns1.example.comAAAAA
获取这些的解析器可以使用粘合记录,因为它看到该记录是注册表具有权威性的名称,因此调用者可以相信这个结果。
另一方面,如果名称服务器是ns1.provider.example.(另一个注册表中的完全不同的 TLD),即使注册表.com会A在附加部分中发送该名称的记录,任何安全意识强的解析器都会拒绝考虑它,因为这是发送者(注册表)没有权威的信息。
否则,想象一下,在每个步骤中,如果任何服务器都可以向您发送A与您的查询相关的任何名称的记录,在任何其他区域并让调用者接受它们......这使得劫持变得太容易了。
(DNSSEC在这里没有帮助,因为只有ANSWER部分的内容是签名的,ADDITIONAL部分中的粘合记录没有签名)