O que é delegação de DNS?

22

Em resposta à minha pergunta anterior , observei estas linhas:

Normalmente, esse último estágio de delegação é interrompido na maioria das configurações de usuários domésticos. Eles passaram pelo processo de compra de um domínio com um registrador / provedor de serviços, mas falharam em configurar o domínio para apontar a delegação para seus próprios servidores de nomes. Você realmente precisa informar ao registrador onde estão seus servidores de nomes antes que eles possam colocar registros de cola para que sua etapa da delegação funcione.

O que é uma delegação de DNS? Como funciona? Uma explicação completa para o domínio hipotético abc.comseria útil.

Nishan
fonte

Respostas:

24

Em termos físicos, a delegação é muito semelhante à maneira como um gerente delegará a responsabilidade das tarefas à sua equipe. Os resultados são os mesmos, porém mais de uma pessoa esteve envolvida no processo. O gerente recebe a solicitação de trabalho, passa a responsabilidade para outro membro da equipe e o membro da equipe ou o gerente retorna com os resultados do trabalho. Tudo isso desde que o trabalho do funcionário seja realmente correto e seja o que o solicitante original solicitou (ou que o solicitante realmente solicitou algo que fosse válido em primeiro lugar!).

Com a delegação de DNS, é bem parecido. Quando os comservidores de nomes são solicitados a encontrar a autoridade da zona example.com, geralmente delegam esse trabalho em servidores de nomes separados (na verdade, na grande maioria dos casos, na verdade delegam a resposta em outros servidores de nomes). Quando você registra um domínio pela primeira vez, digamos, nosso example.comdomínio, isso geralmente é feito por meio de um terceiro chamado registrador. É uma prática comum dos registradores colocar seus servidores de nomes para a delegação e servir uma zona padrão desses servidores de nomes. Esta zona padrão inclui os requisitos básicos para servir aquela zona na internet (os SOA, NSe Aregistos associados a esses registros NS).

Obviamente, se você deseja assumir o controle da autoridade do domínio, é necessário pedir ao registrador para delegar o domínio ao seu servidor de nomes. Registradores diferentes se referem a isso em processo de diferentes maneiras, 'altere servidores de nomes', 'use DNS de terceiros', 'Adicionar registros de cola' e assim por diante. O mecanismo abaixo permanece o mesmo. Você fornece, geralmente, 2 ou mais "nomes de servidores de nomes" (por exemplo ns0.example.come ns1.example.com) e os endereços IP em que ns0e ns1são. Eles então processam a solicitação e a delegação é direcionada do seu registrador para os servidores de nomes que você forneceu.

Em termos técnicos, é neste ponto que você deve garantir que seus servidores de nomes estejam em funcionamento, atendendo ao domínio example.com, com no mínimo um SOA(registro de início de autoridade), 1 ou mais NSregistros e os Aregistros (os IPs) que esses registros NS são resolvidos de:

example.com.   IN SOA ns0.example.com. hostmaster.example.com. ( 10 3600 900 604800 7200 )
           IN NS  ns0.example.com.
           IN NS  ns1.example.com.
ns0        IN A   192.0.2.8
ns1        IN A   192.0.2.44

(Escolhi alguns valores arbitrários para os valores SOA, os nomes dos registros NS e os IPs para os quais os servidores de nomes decidem). Todos terão que refletir a zona para a qual você está servindo.

Esse serviço DNS deve estar visível em qualquer lugar da Internet e não ser protegido por firewall (ou seja, a porta 53 de entrada udp e tcp deve ser permitida). Além disso, seu provedor de serviços também não deve bloquear essa porta (o que alguns provedores bloqueiam o tráfego de entrada destinado a essas portas).

Dada a minha comparação original, os comservidores de nomes são os gestores de DNS, que está delegando a zona example.compara os servidores de nomes (os membros do pessoal) para fazer o trabalho de fornecer as informações de zona básica ( SOA, NS, A). Você também pode servir para quaisquer registros adicionais, como registros do servidor de correio, MXou pode ser um Aregistro para o seu www.example.comendereço.

Se esse servidor de nomes não executar o trabalho, retornar resultados incorretos ou se houver um terceiro (firewall / ISP) bloqueando o trabalho, você não terá o DNS ativo e a delegação será interrompida.

Também pode ser interessante notar que o domínio NÃO precisa ser delegado a servidores de nomes no mesmo domínio, portanto, ns0.example.nete ns0.example.orgpode ser um servidor de nomes válido que poderia ter example.comdelegado a eles. Desde que esses dois servidores de nomes atendessem ao example.comdomínio.

Drav Sloan
fonte
obrigado @Dav Sloan, para explicar em uma linguagem tão simples
Nishan
2
+1. Eu também acrescentaria que, no último caso, onde o servidor de nomes não faz parte do mesmo domínio, não há necessidade de um registro de "cola", apenas um registro ns comum no registrador / gTLD. Isso muitas vezes confunde as pessoas.
GnP 23/06
+1 na resposta! A cola @GnP é necessária apenas quando há uma dependência circular. Como quando o servidor de nomes não faz parte do mesmo domínio, não há dependência circular e é por isso que a cola não é necessária? Esta conclusão está certa?
Louco Psychild
5

A delegação em termos de DNS significa que o servidor de nomes na hierarquia acima responderá a cada solicitação do seu domínio com uma NSresposta.

Então, no caso de abc.comvocê fazer:

$ dig com.
=>
com.        896 IN  SOA a.gtld-servers.net.  ...

Em seguida, consulte esse servidor de nomes especificamente para abc.com:

$ dig abc.com @a.gtld-servers.net.
=>
;; AUTHORITY SECTION:
abc.com.    172800  IN  NS  sens01.dig.com.
abc.com.    172800  IN  NS  sens02.dig.com.
abc.com.    172800  IN  NS  orns01.dig.com.
abc.com.    172800  IN  NS  orns02.dig.com.

Os registros de cola significam que, além dos nomes de host de seus servidores de nomes, a .comautoridade também conhece seus endereços IP.

Se os registros de cola forem configurados, a consulta acima também fornecerá A/AAAArespostas para cada um dos servidores de nomes.

hroptatyr
fonte
5

No seu domínio, você pode definir hosts como desejar, por exemplo mymailserver. Para conectar-se ao seu servidor de e-mail, preciso usar o DNS para determinar seus endereços IP e, para esse fim, preciso saber onde devo procurar na árvore de nomes mymailserver.

Parece complicado, mas é exatamente para isso que usamos o "nome de domínio totalmente qualificado" (FQDN). Se você definir um host mymailserverem seu domínio, abc.com.esse host possui o FQDN mymailserver.abc.com.. Com essas informações, posso resolver esse nome com o endereço IP correto.

Você não precisa criar todos os hosts do formulário <hostname>.abc.com.; também pode ramificar conforme desejar. Você pode ter servers.abc.com.e colocar todos os seus servidores lá, por exemplo mymailserver.servers.abc.com.. Você pode fazer isso porque o domínio abc.com.foi delegado a você. O que significa que você tem autoridade para solicitar qualquer domínio e nome de domínio que termine com abc.com.. Portanto, você pode definir hosts e subdomínios de ramificação para o conteúdo do seu coração.

Delegação significa que um proprietário de domínio fornece controle total sobre uma ramificação para outra pessoa. Assim como o proprietário de com.delegar o subdomínio abc.com.a você, você pode ramificar subdomínios, por exemplo, def.abc.com.e delegar para mim. No meu domínio, eu posso fazer / definir o que eu quiser / gostar, sem ter que perguntar ou informar a você ou mesmo aos com.proprietários.

Como funciona? Você simplesmente coloca uma informação em seus registros DNS que diz "para obter informações sobre, def.abc.compor favor, pergunte ao servidor DNS hisdnsserver.def.abc.com.". Obviamente, para consultar esse servidor, é necessário saber o endereço IP de hisdnsserver.def.abc.com.. É para isso que servem os registros de cola. Na verdade, você coloca duas informações, uma que acabou de ser mencionada e a outra sendo o endereço IP de hisdnsserver.def.abc.com.. Dessa forma, você fornece a qualquer pessoa uma pergunta sobre def.abc.com.informações suficientes para apontá-las para a autoridade desse subdomínio.

Por que os programas perguntaram sobre você def.abc.com.em primeiro lugar? Porque você é a autoridade abc.com.e com.deu autoridade ao solicitante duas informações sobre yourdnsservere abc.com....

user1129682
fonte
+1 para o final "." no FQDN. que é erroneamente omitido.
Nass 12/08