SOA y registro NS primario (DNS)

18

La mayor parte de la pregunta es esta: ¿Cuál es la relación entre el servidor de nombres primario especificado en el SOAregistro y los servidores de nombres especificados en los NSregistros? ¿Cómo se vinculan estas cosas?

Cuando consulto la mayoría de los sitios web, obtengo esto:

dhamma@sansa:~$ host -t SOA arth.com
arth.com has SOA record ns1.comcastbusiness.net. domreg-tech.comcastbusiness.net. 2009072715 3600 7200 604800 7200

Y espero verlo ns1.comcastbusiness.netcomo el servidor de nombres principal, porque cuando consulto el NSregistro del dominio obtengo esto:

dhamma@sansa:~$ host -t NS arth.com
arth.com name server ns1.comcastbusiness.net.
arth.com name server ns2.comcastbusiness.net.
arth.com name server ns3.comcastbusiness.net.

¿Esto siempre me llevó a pensar que los SOAregistros de alguna manera autocompletaron el NSregistro primario ? ¿Es eso remotamente cierto?

Porque aquí es donde estoy más confundido:

dhamma@sansa:~$ host -t SOA paulwarnk.com
paulwarnk.com has SOA record a.dns.hostway.net. hostmaster.siteprotect.com. 2009012319 86400 7200 86400 99999

Pero me dicen, y uso, estos servidores de nombres:

dhamma@sansa:~$ host -t NS paulwarnk.com
paulwarnk.com name server adns.cs.siteprotect.com.
paulwarnk.com name server bdns.cs.siteprotect.com.

¿Por qué este servidor de nombres adns.cs.siteprotect.comno figura como el servidor de nombres principal en el SOAregistro?

scraft3613
fuente

Respuestas:

14

RFC 1035 dice:

MNAME El <nombre-dominio> del servidor de nombres que fue la fuente de datos original o primaria para esta zona.

aunque en la práctica este MNAMEcampo en su SOAmayoría no se utiliza actualmente.

Sin embargo, si está utilizando actualizaciones dinámicas de DNS, debe referirse al nombre del servidor DNS que recibirá los mensajes de actualización dinámica.

Vea también este Borrador de Internet (caducado) que habla sobre el MNAMEcampo en detalle y cómo el mensaje ACTUALIZACIÓN DNS es el único uso actual para él.

Alnitak
fuente
Esta es la razón. +1 para una respuesta corta y legible.
womble
ese es un punto excelente ... especialmente en estos días con las zonas integradas de Active Directory (que son malvadas, en mi humilde opinión). Si bien no importa si confía únicamente en los servidores DNS de MS o no (nosotros no), la SOA debe apuntar al controlador AD, que con una zona ADI, debería ser el cuadro AD más cercano a su solicitud.
Greeblesnort
2
Esta respuesta es confusa.
briankip
1
@Alnitak No estoy seguro de cómo su respuesta relaciona los registros NS con el registro SOA ...?
Howiecamp
1
@Alnitak Es posible que desee indicar ese punto en su respuesta porque para un lector que aún no sabe la respuesta, ese hecho no está claro en su respuesta. Sugiera simplemente poner "no están directamente relacionados" en la parte superior de su respuesta. Hice la edición.
Howiecamp
9

Los registros del servidor de nombres se especifican en su archivo de zona. El registro SOA indica el servidor de nombres primario para la zona. No hay una relación automática entre los dos. Aquí hay una buena lectura sobre los registros SOA. La respuesta corta es que el registro SOA es el registro completo que contiene el nombre, TTL, etc. Además, le sugiero que elija el libro O'Reilly DNS & Bind. Es realmente bastante útil.

Sus registros más allá de los servidores raíz para paulwarnk.com:

paulwarnk.com.      172800  IN  NS  adns.cs.siteprotect.com.
paulwarnk.com.      172800  IN  NS  bdns.cs.siteprotect.com.
;; Received 116 bytes from 192.55.83.30#53(M.GTLD-SERVERS.NET) in 152 ms

paulwarnk.com.      99999   IN  A   69.143.69.166
paulwarnk.com.      99999   IN  NS  adns.cs.siteprotect.com.
paulwarnk.com.      99999   IN  NS  bdns.cs.siteprotect.com.
;; Received 100 bytes from 64.26.28.8#53(adns.cs.siteprotect.com) in 12 ms

Ahora, lo que esto significa es que, en los servidores raíz, adns & bdns.cs.siteprotect.com figuran como las autoridades de paulwarnk.com. Luego, en esos servidores (adns y bdns) hay un registro A para el registro raíz que apunta a 69.143.69.166.

Creo que lo que estás preguntando es por qué los registros NS parecen ser diferentes. La respuesta es que los registros NS fueron especificados, probablemente por su registrador, para apuntar a sus servidores que tienen autoridad para la zona. Sin embargo, este resultado parece indicar un problema, ya que el servidor de nombres SOA no parece responder a una solicitud de sus registros:

; <<>> DiG 9.2.4 <<>> @a.dns.hostway.net paulwarnk.com
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 37849
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;paulwarnk.com.         IN  A

;; Query time: 10 msec
;; SERVER: 66.113.129.243#53(66.113.129.243)
;; WHEN: Mon Nov 16 23:03:04 2009
;; MSG SIZE  rcvd: 31

editar: La AUTORIDAD: 0 significa que el servidor a.dns.hostway.net no respondió con autoridad. Parece algo obvio cuando la sección RESPUESTA: 0 está allí, pero en realidad es importante diferenciar entre una respuesta autorizada y una no autorizada. La autoridad, en DNS, habla de si se puede confiar realmente en el servidor del que recibió su respuesta para saber de qué está hablando.

En cuanto a por qué hay un servidor en la lista de SOA, no sé si alguna vez leí la razón por la que lo pusieron allí, pero ese servidor debería ser el servidor maestro de la zona, por lo tanto, Start of Authority o SOA. No siempre es así, ya que el SOA para todos los más de 1400 de mis dominios enumera un servidor de consulta primario en el SOA, pero el inicio real de la autoridad está en un maestro oculto al que nadie puede acceder.

Greeblesnort
fuente
Muchas gracias, eso aclara mucho. Entonces, ¿cuál es el propósito de especificar un servidor de nombres primario en SOA? ¿Hay alguna razón por la que dice AUTORIDAD 0 en su consulta? Oh, muchas preguntas. Recogeré el libro de O'Reilly.
scraft3613
Tu edición es incorrecta. La AAbandera se usa para indicar una respuesta autorizada. AUTHORITY: 0simplemente significa que no hay respuestas en la "sección de autoridad" de la respuesta.
Alnitak
Técnicamente correcto, pero no creo que eso haga que mi edición sea incorrecta en contexto. Sin una bandera aa, no está obteniendo una respuesta autorizada. Sin embargo, gracias, me hizo releer la documentación =)
Greeblesnort