it-swarm.com.de

Was ist DNS-Delegierung?

In eine Antwort auf meine vorherige Frage bemerkte ich diese Zeilen:

Normalerweise ist diese letzte Phase der Delegierung bei den meisten Heimanwender-Setups unterbrochen. Sie haben den Kauf einer Domain bei einem Registrar/Dienstanbieter durchlaufen, die Domain dann jedoch nicht so konfiguriert, dass die Delegierung auf ihre eigenen Nameserver verweist. Sie müssen dem Registrar tatsächlich mitteilen, wo sich Ihre Nameserver befinden, bevor sie Kleberaufzeichnungen erstellen können, damit Ihr Schritt der Delegation funktioniert.

Was ist eine DNS-Delegierung? Wie funktioniert es? Eine vollständige Erklärung für den hypothetischen Bereich abc.com Wäre hilfreich.

23
Nishan

In physischer Hinsicht ist die Delegierung sehr ähnlich der Art und Weise, wie ein Manager die Verantwortung für Aufgaben an seine Mitarbeiter delegiert. Die Ergebnisse sind die gleichen, jedoch war mehr als eine Person an dem Prozess beteiligt. Der Manager erhält die Arbeitsanforderung, gibt die Verantwortung an einen anderen Mitarbeiter weiter und entweder der Mitarbeiter oder der Manager kehrt mit den Arbeitsergebnissen zurück. Dies alles unter der Voraussetzung, dass die Arbeit des Mitarbeiters tatsächlich korrekt ist und vom ursprünglichen Antragsteller angefordert wurde (oder dass der Antragsteller tatsächlich etwas angefordert hat, das überhaupt gültig war!).

Bei der DNS-Delegierung ist dies ziemlich ähnlich. Wenn die Nameserver com nach dem Ort gefragt werden, an dem die Berechtigung der Zone example.com gefunden werden soll, arbeiten sie häufig delegate , um Nameserver zu trennen (tatsächlich in In den allermeisten Fällen delegieren sie die Antwort tatsächlich an andere Nameserver. Wenn Sie eine Domain zum ersten Mal registrieren, beispielsweise unsere example.com Domain, erfolgt dies häufig über einen Dritten, der als Registrar bezeichnet wird. Es ist üblich, dass Registrare ihre Nameserver für die Delegierung einrichten und eine Standardzone von diesen Nameservern aus bedienen. Diese Standardzone enthält die grundlegenden Anforderungen für die Bereitstellung dieser Zone im Internet (die Datensätze SOA, NS und A, die diesen NS-Datensätzen zugeordnet sind).

Wenn Sie selbst die Kontrolle über die Autorität der Domain übernehmen möchten, müssen Sie den Registrar natürlich bitten, die Domain stattdessen an Ihren Nameserver zu delegieren. Verschiedene Registrare verweisen auf unterschiedliche Weise auf diesen Vorgang: "Nameserver ändern", "DNS von Drittanbietern verwenden", "Klebereinträge hinzufügen" usw. Der Mechanismus darunter bleibt gleich. Sie geben im Allgemeinen 2 oder mehr "Nameservernamen" (zum Beispiel ns0.example.com und ns1.example.com) und die IP-Adressen an, unter denen ns0 und ns1 sind. Anschließend bearbeiten sie die Anfrage und die Delegation wird von Ihrem Registrar an die von Ihnen angegebenen Nameserver weitergeleitet.

In technischer Hinsicht müssen Sie an diesem Punkt sicherstellen, dass Ihre Nameserver betriebsbereit sind und die Domäne example.com mit einem Minimum eines SOA (Beginn des Berechtigungsdatensatzes) bedienen ), 1 oder mehr NS -Datensätze und A -Datensätze (die IPs), aus denen diese NS -Datensätze aufgelöst werden:

example.com.   IN SOA ns0.example.com. hostmaster.example.com. ( 10 3600 900 604800 7200 )
           IN NS  ns0.example.com.
           IN NS  ns1.example.com.
ns0        IN A   192.0.2.8
ns1        IN A   192.0.2.44

(Ich habe beliebige Werte für die SOA Werte, die Namen für die NS Datensätze und die IPs ausgewählt, in die diese Nameserver aufgelöst werden.) Diese müssen alle die Zone widerspiegeln, für die Sie dienen.

Dieser DNS-Dienst muss von überall im Internet sichtbar sein und darf nicht durch eine Firewall geschützt sein (dh Port 53 udp und tcp eingehend müssen zugelassen sein). Außerdem darf Ihr Dienstanbieter diesen Port auch nicht blockieren (was einige Anbieter eingehenden Datenverkehr für diese Ports blockieren).

In Anbetracht meines ursprünglichen Vergleichs sind die Nameserver com die DNS-Manager, die die Zone example.com an die Nameserver (die Mitarbeiter) delegieren, um die grundlegenden Zoneninformationen bereitzustellen (SOA, NS, A). . Sie können auch zusätzliche Datensätze wie Mailserver-Datensätze MX oder einen A -Datensatz für Ihre www.example.com -Adresse bereitstellen.

Wenn dieser Nameserver die Arbeit nicht erledigt, die falschen Ergebnisse zurückgibt oder ein Dritter (Firewall/ISP) die Arbeit blockiert, haben Sie kein funktionierendes DNS und die Delegierung wird unterbrochen.

Es kann auch erwähnenswert sein, dass die Domäne NICHT an Nameserver in derselben Domäne delegiert werden muss, sodass ns0.example.net und ns0.example.org beide gültige Nameserver sein können, die example.com an sie delegiert. Vorausgesetzt, diese beiden Nameserver bedienten die Domäne example.com.

25
Drav Sloan

Innerhalb Ihrer Domain können Sie Hosts beliebig definieren, zum Beispiel mymailserver. Um eine Verbindung zu Ihrem Mailserver herzustellen, muss ich den DNS verwenden, um seine IP-Adressen zu bestimmen. Zu diesem Zweck muss ich wissen, wo im Namensbaum nach mymailserver gesucht werden soll.

Klingt kompliziert, aber genau dafür verwenden wir den "vollqualifizierten Domainnamen" (FQDN). Wenn Sie in Ihrer Domain abc.com. Einen Host mymailserver definieren, hat dieser Host den vollqualifizierten Domänennamen mymailserver.abc.com.. Mit diesen Informationen kann ich diesen Namen in die richtige IP-Adresse auflösen.

Sie müssen nicht alle Hosts des Formulars <hostname>.abc.com. Erstellen, sondern können auch beliebig verzweigen. Sie können servers.abc.com. Haben und alle Ihre Server dort ablegen, zum Beispiel mymailserver.servers.abc.com.. Sie können dies tun, da die Domain abc.com.delegiert an Sie war. Dies bedeutet, dass Sie die Berechtigung haben, nach einer Domain und einem Domainnamen zu fragen, die mit abc.com. Endet. Daher können Sie Hosts und Zweig-Subdomänen nach Herzenslust definieren.

Delegierung bedeutet, dass ein Domaininhaber jemand anderem die volle Kontrolle über einen Zweig gibt. Genau wie der Eigentümer von com. Die Subdomain abc.com. An Sie delegiert hat, können Sie Subdomains, z. B. def.abc.com., Abzweigen und an mich delegieren. Innerhalb meiner Domain kann ich tun/definieren, was ich will/mag, ohne dass ich Sie oder sogar die com. - Besitzer danach fragen oder erzählen muss.

Wie funktioniert es? Sie fügen einfach eine Information in Ihre DNS-Einträge ein, die besagt: "Für Informationen zu def.abc.com Fragen Sie bitte den DNS-Server hisdnsserver.def.abc.com.". Um diesen Server abzufragen, muss man natürlich die IP-Adresse von hisdnsserver.def.abc.com. Kennen. Dafür sind Leimaufzeichnungen da. Sie haben tatsächlich 2 Informationen eingegeben, eine die gerade angegebene und die andere die IP-Adresse von hisdnsserver.def.abc.com.. Auf diese Weise stellen Sie jedem, der eine Frage zu def.abc.com. Hat, genügend Informationen zur Verfügung, um ihn auf die Autorität für diese Subdomain hinzuweisen.

Warum haben Sie Programme überhaupt nach def.abc.com. Gefragt? Weil Sie die Autorität für abc.com. Sind und die Autorität für com. Dem Anforderer zwei Informationen über yourdnsserver und abc.com. Gegeben hat ...

6
user1129682

Die Delegierung in Bezug auf DNS bedeutet, dass der Nameserver in der obigen Hierarchie jede Anfrage an Ihre Domain mit einer NS Antwort beantwortet.

Also im Fall von abc.com du würdest tun:

$ Dig com.
=>
com.        896 IN  SOA a.gtld-servers.net.  ...

Fragen Sie dann diesen Nameserver speziell nach abc.com:

$ Dig abc.com @a.gtld-servers.net.
=>
;; AUTHORITY SECTION:
abc.com.    172800  IN  NS  sens01.Dig.com.
abc.com.    172800  IN  NS  sens02.Dig.com.
abc.com.    172800  IN  NS  orns01.Dig.com.
abc.com.    172800  IN  NS  orns02.Dig.com.

Kleberaufzeichnungen bedeuten, dass zusätzlich zu den Hostnamen Ihrer Nameserver die .com Autorität kennt auch ihre IP-Adressen.

Wenn Leimdatensätze eingerichtet sind, gibt Ihnen die obige Abfrage auchA/AAAA Antworten für jeden der Nameserver.

5
hroptatyr