Route53: Где хранятся записи SOA, записи NS?
Согласно документам AWS, Route 53 должен быть авторитетным сервером имен. Если пример.com — это домен, который я купил, и www.example.com указывает на IP 192.0.2.4, то Тop лevel Дomain Сервер имен (NS для «.com») хранит сопоставление между Аuthoritative Нame Сerver (ANS) для домена пример.com. и домен example.com, как показано ниже:
пример.com. 172800 В NS ns1.awsdns.com
Итак, это запись NS, и этот НС запись находится на сервере имен TLD для «.com». Правильно ли я понимаю? Если да, то почему я также вижу ту же запись в консоли Route 53? Предполагается, что Route 53 является авторитетным сервером имен. Почему полномочный сервер имен должен хранить указатели на домен пример.com, обслуживаемый им самим? Разве тот факт, что ANS для домена пример.com — это ns1.awsdns.com, не должен быть известен NS TLD .com, а не самому Route53?
Кроме того, где будет находиться запись SOA? Будет ли он находиться в самом ANS? Ниже приведена запись SOA:
ns1.awsdns.com admin.awsdns.com 2013022001 86400 7200 604800 300
Это имеет:
Основной сервер имен для домена: ns1.awsdns.com
Ответственное лицо за домен: admin.awsdns.com
временная метка, которая меняется всякий раз, когда вы обновляете свой домен: 2013022001
Количество секунд до обновления зоны: 86400
Количество секунд до повторной попытки неудачного обновления: 7200.
Верхний предел в секундах, по истечении которого зона считается недействительной: 604800.
Отрицательный результат TTL: 300
Если эта запись SOA находится в самом ANS, то есть на самом компьютере ns1.awsdns.com, то какой смысл в этой записи SOA сообщать ANS ns1.awsdns.com, что ns1.awsdns.com является первичным сервером имен?
Может ли кто-нибудь устранить путаницу здесь? Я совершенно сбит с толку.
Ответы 1
Why does an Authoritative Name Server need to keep pointers about the example.com domain being served by itself?
Ваш вопрос не относится ни к Amazon, ни к конкретному ДВУ, ни к положению ДВУ в дереве DNS, приведенное ниже относится ко всему в DNS.
Данный сервер имен (фактически набор серверов имен) является авторитетным в зоне. Следовательно, он имеет полное содержимое зоны, которое включает SOA и NS записи зоны. Авторитетно над ним.
Но для разрешения зоны ее родительский элемент должен знать набор серверов имен, и, следовательно, этот набор публикуется в родительском.
Итак, у вас есть одна информация в двух местах, но ребенок авторитетен в этом. Может случиться так, что обе рассинхронизировались, это называется хромой делегацией. Но ожидается, что распознаватели будут верить дочерней версии контента, а не родительской.
В RFC1034 у вас есть это:
Though logically part of the authoritative data, the RRs that describe the top node of the zone are especially important to the zone's management. These RRs are of two types: name server RRs that list, one per RR, all of the servers for the zone, and a single SOA RR that describes zone management parameters.
а по поводу раскола и какая сторона авторитетнее:
The RRs that describe cuts around the bottom of the zone are NS RRs that name the servers for the subzones. Since the cuts are between nodes, these RRs are NOT part of the authoritative data of the zone, and should be exactly the same as the corresponding RRs in the top node of the subzone. Since name servers are always associated with zone boundaries, NS RRs are only found at nodes which are the top node of some zone. In the data that makes up a zone, NS RRs are found at the top node of the zone (and are authoritative) and at cuts around the bottom of the zone (where they are not authoritative), but never in between.
Документ по терминологии DNS (RFC 8499) также пытается уменьшить путаницу:
Authoritative data: "All of the RRs attached to all of the nodes from the top node of the zone down to leaf nodes or nodes above cuts around the bottom edge of the zone." (Quoted from [RFC1034], Section 4.2.1) Note that this definition might inadvertently also cause any NS records that appear in the zone to be included, even those that might not truly be authoritative because there are identical NS RRs below the zone cut. This reveals the ambiguity in the notion of authoritative data, because the parent-side NS records authoritatively indicate the delegation, even though they are not themselves authoritative data.
Что касается
what is the point of this SOA record telling the ANS ns1.awsdns.com that ns1.awsdns.com is the primary name server?
это другая проблема.
Сервер имен, указанный в записи SOA и считающийся первичным, на самом деле имеет мало отношения к операциям, за исключением случаев динамических обновлений. Когда есть динамические обновления DNS, ожидается, что клиенты будут отправлять свои пакеты на этот хост, если они хотят что-то обновить в зоне, описанной этой записью SOA. Но помимо этого, имя здесь имеет небольшое значение. Он может быть даже недоступен.
Сравните, например, SOA fr. и NS fr.: вы увидите, что первичный сервер имен, указанный в записи SOA, даже не входит в набор авторитетных серверов имен для зоны.
В документе по терминологии DNS говорится следующее:
Primary master: "The primary master is named in the zone's SOA MNAME field and optionally by an NS RR." (Quoted from [RFC1996],
Section 2.1) [RFC2136] defines "primary master" as "Master server at the root of the AXFR/IXFR dependency graph. The primary master is named in the zone's SOA MNAME field and optionally by an NS RR.
There is by definition only one primary master server per zone."The idea of a primary master is only used in [RFC1996] and [RFC2136]. A modern interpretation of the term "primary master" is a server that is both authoritative for a zone and that gets its updates to the zone from configuration (such as a master file) or from UPDATE transactions.
Что не полностью отражает реальность, потому что, если вы попытаетесь связаться с сервером имен, указанным в записи fr. SOA, вы не получите никакого ответа, так как имя все равно не разрешается публично (это обычно называется настройкой «скрытый мастер») .
Я верну свой вопрос, чтобы сохранить преемственность... Я вытащил свой вопрос, чтобы прочитать ваши правки...
«Данный сервер имен (фактически набор серверов имен) является авторитетным в зоне» - Вы имеете в виду, что есть ns1.awsdns.com, ns2.awsdns.com и т. д.? ........... "Но для разрешения зоны ее родительский элемент должен знать набор серверов имен, и, следовательно, этот набор публикуется в родительском." - Что это за родитель? NS ДВУ для «.com» в этом примере?........... «Итак, у вас есть одна информация в двух местах, но ребенок является авторитетным в этом отношении». - Какие два пятна? Извините, мои вопросы все еще остаются без ответа; Где остается запись SOA? И где в моем примере остается запись NS?
Итак, вот что я понимаю из вашего поста: записи NS присутствуют в ANS для «example.com», а также TLD-NS для «.com». TLD-NS, который является родителем, должен знать, какой ANS может предоставить информацию на example.com, где помогают записи NS. Точно такие же записи NS также находятся в ANS (дочернем) для «example.com», что может служить для предоставления более обновленной информации об основном сервере имен и т. д. Что касается записей SOA, они присутствуют только в ребенок, который является ANS для example.com. Правильно ли я понимаю?
Да, ваше понимание правильное. Nitpick: «который может служить для предоставления более обновленной информации об основном сервере имен». Я бы сказал (и попытался сказать в своем ответе), что оба набора должны совпадать, если они не совпадают, это называется хромой делегацией, и это проблема, которая должна быть исправлена, но если есть несоответствие, дочерняя версия обычно является официальной. Набор NS дочернего элемента, опубликованный в родительском, существует только для того, чтобы включить делегирование, так что один, запрашивающий com серверы имен, узнает, что есть zonecut, потому что у example.com есть другие серверы имен.
Да, родителем
example.comявляетсяcom, потому что есть zonecut (делегирование). Таким образом, у вас будут записи NS дляexample.comкак наcomавторитетных серверах имен, так и наexample.comавторитетных серверах имен. 2 пятна. Что касается SOA, см. мое редактирование, это чисто на дочерней стороне.