什么是 DNS 委派?

什么是 DNS 委派?

我之前问题的答案我注意到了以下几行:

通常,大多数家庭用户设置都会在授权的最后阶段出现问题。他们已经完成了从注册商/服务提供商处购买域名的过程,但随后未能配置域名以将授权指向他们自己的名称服务器。实际上,您必须告诉注册商您的名称服务器在哪里,然后他们才能设置粘合记录以使您的授权步骤生效。

什么是 DNS 委派?它如何工作?对假设域的完整解释abc.com将会很有帮助。

答案1

从物理角度来说,授权与经理将任务责任委派给员工的方式非常相似。结果是一样的,但是不止一个人参与了这个过程。经理收到工作请求,将任务委托给下属,然后下属将任务委托给下属。责任交给另一名员工,该员工或经理将工作结果带回。这一切都以该员工所做的工作确实正确且是原始请求者所要求的(或请求者实际上要求的最初内容是有效的!)为前提。

DNS 委派的情况也非常类似。当com名称服务器被要求提供查找区域权限的位置时example.com,它们通常会代表这项工作由单独的名称服务器完成(事实上,在绝大多数情况下,它们确实将响应委托给其他名称服务器)。当您首次注册域名(例如我们的example.com域名)时,这通常是通过第三方(称为注册商)完成的。注册商通常会将其名称服务器用于委托,并从这些名称服务器中提供默认区域。此默认区域包括在互联网上为该区域提供服务的基本要求(SOANS这些ANS 记录关联的记录)。

显然,如果你自己想控制权威域名,您必须要求注册商将域名委托给您的名称服务器。不同的注册商在处理过程中以不同的方式引用此信息,例如“更改名称服务器”、“使用第三方 DNS”、“添加 Glue 记录”等等。底层机制保持不变。您通常提供 2 个或更多“名称服务器名称”(例如ns0.example.com和)以及 和所在ns1.example.com的 IP 地址。然后,他们处理请求,委托将从您的注册商指向您提供的名称服务器。ns0ns1

从技术角度来说,此时你必须确保你的域名服务器正常运行,为域名提供服务example.com,并且最低限度一个SOA(授权记录的起始)、一个或多个NS记录以及A解析这些 NS 记录的记录(IP):

example.com.   IN SOA ns0.example.com. hostmaster.example.com. ( 10 3600 900 604800 7200 )
           IN NS  ns0.example.com.
           IN NS  ns1.example.com.
ns0        IN A   192.0.2.8
ns1        IN A   192.0.2.44

(我为 SOA 值、NS 记录的名称以及这些名称服务器解析的 IP 选择了一些任意值)。这些都必须反映您服务的区域。

此 DNS 服务必须可见任何地方在互联网上,并且没有防火墙(即必须允许端口 53 udp 和 tcp 入站)。另外,您的服务提供商也不得阻止该端口(有些提供商会阻止发往这些端口的入站流量)。

根据我最初的比较,com名称服务器是 DNS 管理员,他们将区域委托example.com给名称服务器(工作人员),以提供基本区域信息(SOANSA)。您还可以提供任何其他记录,例如邮件服务器记录MX,也可能是A您的www.example.com地址记录。

如果该名称服务器不执行工作、返回错误结果或有第三方(防火墙/ ISP)阻止工作,则您将无法获得有效的 DNS,并且委派将会中断。

还值得一提的是,域名不必委托给同一域中的名称服务器,因此ns0.example.netns0.example.org都可以是可以example.com委托给它们的有效名称服务器。前提是这两个名称服务器都为该example.com域提供服务。

需要多个名称服务器的原因是为了向 DNS 客户端提供冗余,这对于不中断的互联网非常重要。

答案2

DNS 中的委托意味着您将回答上层层次结构中的名称服务器每一个向您的域名发出请求并做出NS响应。

因此,如果abc.com您这样做:

$ dig com.
=>
com.        896 IN  SOA a.gtld-servers.net.  ...

然后专门查询该名称服务器abc.com

$ dig abc.com @a.gtld-servers.net.
=>
;; AUTHORITY SECTION:
abc.com.    172800  IN  NS  sens01.dig.com.
abc.com.    172800  IN  NS  sens02.dig.com.
abc.com.    172800  IN  NS  orns01.dig.com.
abc.com.    172800  IN  NS  orns02.dig.com.

粘合记录意味着除了您的名称服务器的主机名之外,.com权威机构还知道它们的 IP 地址。

如果设置了粘合记录,则上述查询将为您提供A/AAAA每个名称服务器的响应。

答案3

在您的域中,您可以根据需要定义主机,例如mymailserver。要连接到您的邮件服务器,我需要使用 DNS 来确定其 IP 地址,为此我需要知道在名称树中的什么位置查找mymailserver

听起来很复杂,但这正是我们使用“完全限定域名”(FQDN) 的目的。如果您mymailserver在域中定义主机abc.com.,则该主机具有 FQDN mymailserver.abc.com.。有了这些信息,我就可以将该名称解析为正确的 IP 地址。

您不必创建所有形式的主机<hostname>.abc.com.,也可以根据需要进行分支。servers.abc.com.例如,您可以将所有服务器放在那里mymailserver.servers.abc.com.。您可以这样做,因为域abc.com.委派给你。这意味着你有权要求任何以 结尾的域名和域名abc.com.。因此,您可以根据自己的心意定义主机和分支子域。

委托意味着域名所有者将分支的全部控制权交给其他人。就像域名所有者com.将子域名委托abc.com.给您一样,您可以分支子域名并将def.abc.com.其委托给我。在我的域名内,我可以做/定义任何我想要/喜欢的事情,而无需询问或告诉您或所有者com.

它是如何工作的?您只需在 DNS 记录中输入一条信息,内容为“有关 的信息,def.abc.com请询问 DNS 服务器hisdnsserver.def.abc.com.”。当然,要查询该服务器,需要知道 的 IP 地址hisdnsserver.def.abc.com.。这就是胶水记录的用途。您实际上输入了 2 条信息,一条是刚刚提到的,另一条是 的 IP 地址hisdnsserver.def.abc.com.。这样,您就可以向任何人提供有关 的问题,def.abc.com.并提供足够的信息,以将他们指向该子域的权限。

def.abc.com.为什么程序首先会询问您?因为您是的主管abc.com.,而的主管向com.请求者提供了两条关于的yourdnsserver信息abc.com....

相关内容