Frage Was ist ein Kleber?


Das ist ein Kanonische Frage über DNS-Kleber-Aufzeichnungen.

Was genau (aber kurz) ist ein DNS-Kleber? Warum werden sie benötigt und wie funktionieren sie?


125
2017-09-09 03:54


Ursprung


RFC-Abschnitt beschreibt die Bedeutung von "Kleber aufnehmen". - Vladimír Čunát


Antworten:


Ein Verbindungsdatensatz ist ein Begriff für einen Datensatz, der von einem DNS-Server bereitgestellt wird, der für die Zone nicht autorisierend ist, um eine Bedingung unmöglicher Abhängigkeiten für eine DNS-Zone zu vermeiden.

Angenommen, ich besitze eine DNS-Zone für example.com. Ich möchte DNS-Server haben, die die autorisierende Zone für diese Domäne hosten, damit ich sie tatsächlich verwenden kann - Datensätze für den Stamm der Domäne hinzufügen, www, mailusw. Also setze ich die Nameserver in die Registrierung um sie zu delegieren - das sind immer Namen, also werden wir reinlegen ns1.example.com und ns2.example.com.

Da ist der Trick. Die Server der TLD werden an die DNS-Server im whois-Datensatz delegieren - aber sie befinden sich innerhalb example.com. Sie versuchen zu finden ns1.example.comfrage den .com Server, und werde zurück verwiesen auf ... ns1.example.com.

Was glue records tun ist, dass die Server der TLD zusätzliche Informationen in ihrer Antwort auf die Abfrage für die example.com zone - um die IP-Adresse zu senden, die auch für die Nameserver konfiguriert ist. Es ist nicht autorisierend, aber es ist ein Zeiger auf die autoritativen Server, so dass die Schleife aufgelöst werden kann.


112
2017-09-09 04:39





Ich habe darum gebeten, diese Antwort aus einer doppelten Frage zusammenzufassen, da die vorhandenen Antworten die Rolle der ADDITIONAL Sektion.

Um zu sehen, wie es funktioniert, geben Sie Folgendes ein: dig +trace +additional google.com SOA

Dies führt die Nameserver-Autorität von den Root-Servern (+trace). Hinzufügen +additional zeigt dir auch die ADDITIONAL Abschnitt jeder Antwort des DNS-Servers. Normalerweise denken die meisten Leute DNS in Bezug auf die QUESTION und das ANSWER Abschnitte, aber ADDITIONAL spielt auch eine wichtige Rolle: Wenn der Nameserver die Antworten auf alle Fragen kennt, die mit der Antwort zu tun haben, kann er diese Antworten in der ADDITIONAL Abschnitt ohne zusätzliche Abfragen von Ihrem Client.

Beachten Sie, dass die autorisierenden Nameserver für google.com sind unter der Domäne verwurzelt, für die sie autoritativ sind. (ns1.google.com, ns2.google.com, usw.)

Wenn Sie einen Nameserver bitten, die Liste der Nameserver für eine Domäne anzugeben, wird häufig eine Liste von Nameservern bereitgestellt ATyp Datensätze (IP-Adressen) in der ADDITIONAL Abschnitt, nicht nur die NSAntworten vom Typ: Diese werden aufgerufen Kleber Aufzeichnungen, um zirkuläre Abhängigkeiten zu verhindern. In diesem Fall diejenigen A Datensätze werden von den TLD-Nameservern (.com, .org usw.) basierend auf den IP-Adressen geliefert, die der für die Domäne zuständige DNS-Registrar bereitgestellt hat. Sie können normalerweise geändert werden, indem Sie sich in die Admin-Weboberfläche einloggen, die sie Ihnen zur Verfügung stellen.

(Haftungsausschluss: AAAA Datensätze mit IPV6-Adressen können auch als Teil des Klebstoffs geliefert werden, aber ich habe dies der Einfachheit halber weggelassen.)


48
2018-02-03 03:08



Danke für die ausführliche Erklärung. Ich habe viel gelernt. - Egemenk
Sehr gute Erklärung. Ich wünschte, ich wäre vor meinem letzten Bewerbungsgespräch auf dieses Detail der Auflösung der zirkulären Abhängigkeit gestoßen. Ich bin mir ziemlich sicher, dass meine Ahnungslosigkeit zu diesem Thema mich teuer zu stehen kam. - converter42
@ converter42 Um ehrlich zu sein, glaube ich nicht, dass die meisten Systemadministratoren erwarten, dass du diese Frage richtig stellst. Ich bin ein DNS-Lead und ich nicht. Es tut Sag mir, wenn ein Interviewpartner DNS besser kennt als 80% der anderen Admins. :) - Andrew B


Es gibt eine präzise (und prägnante) Erklärung auf wikipedia.
Zitieren:

 Kreisförmige Abhängigkeiten und Leimsätze

Nameserver in Delegationen sind   identifiziert anhand des Namens und nicht anhand der IP-Adresse. Dies bedeutet, dass a   Der auflösende Nameserver muss eine weitere DNS-Anfrage ausgeben, um das herauszufinden   IP-Adresse des Servers, auf den verwiesen wurde.
  Wenn der Name   In der Delegierung ist eine Unterdomäne der Domäne angegeben, für die der   Delegation wird zur Verfügung gestellt, es gibt eine zirkuläre Abhängigkeit. In diesem   Fall muss der Nameserver, der die Delegation zur Verfügung stellt, auch einen bereitstellen   Weitere IP - Adressen für den in der   Delegation. Diese Information wird Leim genannt.

. . .

Zum Beispiel, wenn der autoritative Nameserver   for example.org ist ns1.example.org, ein Computer, der versucht aufzulösen   www.example.org löst zuerst ns1.example.org auf. Da ist ns1 enthalten   In example.org erfordert dies zuerst das Auflösen von example.org   präsentiert eine zirkuläre Abhängigkeit.
  Um die Abhängigkeit zu brechen, die   nameserver für die org top level domain enthält kleben zusammen mit dem   Delegation für example.org. Die Leimsätze sind Adressdatensätze, die   Stellen Sie IP-Adressen für ns1.example.org bereit. Der Resolver verwendet einen oder   mehr dieser IP-Adressen, um eine der autorisierenden Domänen abzufragen   Server, die es ermöglicht, die DNS-Abfrage abzuschließen.


30
2017-09-09 04:37





Nachdem ich für immer gesucht habe und viel über Klebezettel gelesen habe und immer noch nicht verstanden habe, was sie waren oder wie man sie herstellen kann, fand ich endlich eine Antwort und es ist eine sehr einfache.

Soweit ich weiß, gibt es keine magischen Zusatzinformationen von irgendwoher, so funktioniert es.

Nehmen wir an, Ihre Domain ist example.com und Sie möchten Ihre eigenen Nameserver ns1.example.com und ns2.example.com verwenden, Sie benötigen mindestens zwei DNS-Server.

  • ns1.example.com hat IP 192.0.2.10
  • ns2.example.com hat IP 192.0.2.20

Damit dies jetzt funktioniert, benötigen Sie den Top-Domain-Besitzer, um die folgenden Datensätze in ihren DNS zu speichern.

example.com NS ns1.example.com
example.com NS ns2.example.com

ns1.example.com A 192.0.2.10 
ns2.example.com A 192.0.2.20

Diese zwei A-Datensätze sind die Glue-Datensätze und sie müssen in der obersten Domäne sein, in diesem Fall .com, und nicht alle Registrare können dies für Sie erledigen.

Wenn das falsch ist, korrigiere mich bitte. Ich dachte nur, ich versuche es auf eine einfache Art und Weise für andere zu erklären, die keine richtige Antwort finden können.


24
2017-08-07 06:22



Der einzige Vorbehalt zu Ihrer Antwort ist, dass Glue Records nicht darauf beschränkt sind, in den Top Level Domains zu erscheinen. Sie können auch eine haben sub.example.com das ist delegiert an ns1.sub.example.com und ns2.sub.example.com in dem example.com Zone. Die Nameserver für comdelegiert haben example.com weg von sich selbst und kann keinen Kleber für irgendeines seiner Kinder zur Verfügung stellen. - Andrew B
Der Schlüsselpunkt scheint zu sein, dass ohne eine Leimaufzeichnung, wenn sich die angeforderte Subdomain und der Nameserver unter derselben Domain befinden, Sie in einer Endlosschleife stecken bleiben: sub.example.com -> example.com -> ns1.example.com -> example.com -> ns1.example.com... und so weiter - Daniel Waltrip