Ich habe festgestellt, dass mehrere Dienstanbieter DNS-Dienste für die Domänen ihrer Clients mit für die Zone festgelegten und vom autorisierenden Nameserver zurückgegebenen NS-Namen ausführen, die nicht mit dem NS übereinstimmen (im Berechtigungsabschnitt/NS & SOA-Einträge) Namen, die vom Upstream-Server (z. B. TLD-Server) zurückgegeben wurden und für die Suche verwendet wurden.DNS: Müssen die NS-Namen, die für eine Zone festgelegt sind, den NS-Namen entsprechen, die von den TLS-Servern in der Upstream-Umgebung gemeldet werden?
Beispiel:
$ dig the-domain-name-here.com NS
; <<>> DiG 9.4.2-P1 <<>> the-domain-name-here.com NS
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7844
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 2
;; QUESTION SECTION:
;the-domain-name-here.com. IN NS
;; ANSWER SECTION:
the-domain-name-here.com. 172370 IN NS ns1.service-provider-here.net.
the-domain-name-here.com. 172370 IN NS ns2.service-provider-here.net.
;; ADDITIONAL SECTION:
ns1.service-provider-here.net. 7200 IN A 192.168.100.1
ns2.service-provider-here.net. 7200 IN A 192.168.100.2
;; Query time: 65 msec
;; SERVER: 192.168.0.1#53(192.168.0.1)
;; WHEN: Wed Mar 11 19:44:00 2009
;; MSG SIZE rcvd: 118
graben $ @ ns1.service-provider-here.net. the-domain-name-here.com
; <<>> DiG 9.4.2-P1 <<>> @ns1.service-provider-here.net the-domain-name-here.com
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48010
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0
;; WARNING: recursion requested but not available
;; QUESTION SECTION:
;the-domain-name-here.com. IN A
;; ANSWER SECTION:
the-domain-name-here.com. 86400 IN A 192.168.100.3
;; AUTHORITY SECTION:
the-domain-name-here.com. 86400 IN NS ns1.different-trade-name.net.
the-domain-name-here.com. 86400 IN NS ns2.different-trade-name.net.
;; Query time: 68 msec
;; SERVER: 192.168.100.1#53(192.168.100.1)
;; WHEN: Wed Mar 11 19:46:00 2009
;; MSG SIZE rcvd: 100
Die gTLD-Server der Nameserver sagen ist ns1.service-provider-here.net und wenn wir den Namen auf diesem Server-Lookup, gibt es eine verbindliche Antwort, aber gibt im Abschnitt "Authority" einen anderen NS-Namen aus (ns1.different-trade-name.net).
Auf diese Weise sind Tausende von Domänen konfiguriert. Es scheint keine Probleme zu verursachen, aber es scheint so falsch zu sein.
Ist das wirklich wichtig? Wird es jemals eine Situation geben, in der Resolver/Clients eine zusätzliche Suche durchführen oder den Namen aus diesem Grund nicht auflösen können?
in der Tat - die "Empfehlungen" in der Parent-Zone sind notwendig, aber nicht endgültig. Nur die echten Nameserver dürfen autoritative Antworten mit dem in der Kopfzeile gesetzten "AA" -Bit zurückgeben. – Alnitak