Como testar o registro de cola de DNS?

24

Olá, Acabei de configurar um servidor DNS para o meu domínio example.org com 2 servidores de nomes ns1.example.org e ns2.example.org. Tentei configurar um registro de cola para ns1 e ns2 no meu registrador.

Parece funcionar por enquanto quando eu faço uma escavação example.org, mas quando eu faço um whois example.org, ele lista ns1.example.org e ns2.example.org, mas não o endereço IP que deve ser configurado como um registro de cola .

Então, eu estou me perguntando como verifico a existência de um registro de cola? Eu faço isso com whois? Eu vi registros .com e .net whois que possuem o nome de domínio e o endereço IP dos servidores de nomes. O org é diferente? Qual é a maneira correta de testar isso?

Obrigado.


fonte

Respostas:

44

Os registros de cola só existem na zona pai de um nome de domínio.

Portanto, no caso do seu example.orgnome de domínio, localize primeiro os .orgservidores de nomes:

% dig +short org. NS
a0.org.afilias-nst.info.
a2.org.afilias-nst.info.
b0.org.afilias-nst.org.
b2.org.afilias-nst.org.
c0.org.afilias-nst.info.
d0.org.afilias-nst.org.

Em seguida, para o número de testes que desejar, solicite explicitamente esses servidores de nomes para os NSregistros do seu domínio:

% dig +norec @a0.org.afilias-nst.info. example.org. NS

Você deve recuperar a lista correta de NSregistros na "SEÇÃO RESPOSTA". Para qualquer servidor de nomes que tenha configurado a cola corretamente, você deverá ver esses registros de cola A(e / ou AAAA) aparecerem na "SEÇÃO ADICIONAL".

Alnitak
fonte
Para o meu domínio, a seção adicional contém o registro de cola, mas também vários outros registros NS que não fazem parte da cola que defini no registro. Como faço para diferenciá-los?
Calimo 15/02
7

Para verificar se um registro GLUE está configurado:

dig +trace @a.root-servers.net ns0.nameserverhere.com

Se o GLUE estiver configurado, você verá um registro que termina com:

“Recevied XXX bytes from x.GTLD-SERVERS.NET.”

Existem também sites que farão isso por você, como http://www.intodns.com/

Cooperativas
fonte
Obrigado, os intodns funcionaram muito bem, recebendo todos os tiques verdes na cola e nas coisas da NS. Eu não recebo o comando dig embora. Eu recebi uma mensagem recebida. Em particular, recebi o seguinte: "Recebi 433 bytes do 192.33.4.12 # 53 (c.root-servers.net) em 183 ms." Mas, então, termina com: "conexão esgotada; nenhum servidor pode ser acessado" Também recebo mensagens semelhantes quando utiliza um número aleatório para a parte ns, por exemplo, ns384289.example.org.
9
que dig teste de diagnóstico é completamente errado ...
Alnitak
Eu sei que isso é antigo, mas muito útil. Eu canalizei os resultados em sed / awk para comparar a raiz x o servidor de nomes para identificar registros NS incompatíveis.
jeffatrackaid
4

Aqui está um pequeno script de shell que implementa a resposta de Alnitak:

#!/bin/sh
S=${IFS}
IFS=.
for P in $1; do
  TLD=${P}
done
IFS=${S}

echo "TLD: ${TLD}"
DNSLIST=$(dig +short ${TLD}. NS)
for DNS in ${DNSLIST}; do
  echo "Checking ${DNS}"
  dig +norec +nocomments +noquestion +nostats +nocmd @${DNS} $1 NS
done

Passe o nome do domínio como parâmetro:

./checkgluerecords.sh example.org
Adrian W
fonte
3

dig +tracegeralmente é a maneira mais direta de inspecionar a cadeia de delegações. No entanto, os registros de cola estão na seção adicional e, por padrão, a saída de rastreio não inclui a seção adicional. Você precisará especificar explicitamente que deseja que isso seja incluído na saída.

dig +trace +additional example.com


Se a idéia for verificar a integridade da cadeia de delegações, você provavelmente também desejará ver os NSregistros autoritativos , neste caso:

dig +trace +additional example.com NS
Håkan Lindqvist
fonte
0

Você também pode usar whois, onde o registro o suportar, para verificar diretamente a cola existente para um determinado servidor de nomes. Por exemplo, para verificar um dos servidores de nomes de serverfault.com:

whois ns-860.awsdns-43.net.

Para uma resposta mais concisa:

whois ns-860.awsdns-43.net. | grep "No match\|IP" | xargs

Nota: Isso certamente funcionará para servidores de nome no espaço de nome .net e .com, mas provavelmente não para a maioria dos outros registros.

user3166580
fonte
1
whois não é realmente a ferramenta certa para consultar a existência de cola. digé mais apropriado.
sendmoreinfo
Eu discordo: você pode verificar diretamente a existência de cola com whois (ou seja, sem precisar de um domínio que tenha sido delegado nesse servidor de nomes), mas agora que verifiquei que não é o caso do TLD .org. Minha resposta está correta para .net / .com, mas essa não é a pergunta original, portanto, suponho que não seja uma boa resposta para essa pergunta.
user3166580
Também acho que o ponto principal da postagem original é que, se a cola não existisse na zona principal da organização, você não conseguiria delegar o domínio nos servidores de nomes. ou seja, porque você não pode ter servidores de nomes sem cola no bailiwick.
user3166580
Sua resposta está correta para nenhum dos TLDs. whoisnão tem nada a ver com o DNS operacional e não é a ferramenta a ser usada para ver colas. Você pode usar whois para procurar servidores de nomes existentes nos registros, mas o fato de o servidor de nomes estar armazenado em um objeto aqui não significa que ele seja usado pelo domínio no qual é bailiwick, que é o único caso em que precisa ser publicado como um cola.
Patrick Mevzek