Frage Wie testet man DNS Kleber?


Hallo Ich habe gerade einen DNS-Server für meine Domain example.org mit 2 Nameservern ns1.example.org und ns2.example.org eingerichtet. Ich habe versucht, einen Kleber-Datensatz für ns1 und ns2 bei meinem Registrar einzurichten.

Es scheint vorerst zu funktionieren, wenn ich dig example.org mache, aber wenn ich ein whois example.org mache, listet es ns1.example.org und ns2.example.org auf, aber nicht ihre IP-Adresse, die als Kleber-Datensatz eingerichtet werden sollte .

Also frage ich mich, wie ich nach der Existenz eines Klebstoffs recherchiere? Tue ich es mit Whois? Ich habe .com und .net whois Aufzeichnungen gesehen, die sowohl den Domain-Namen als auch die IP-Adresse für die Nameserver haben, ist .org anders? Was ist der richtige Weg, dies zu testen?

Vielen Dank.


23
2018-05-16 12:53


Ursprung




Antworten:


Glue-Datensätze existieren nur in der Parent-Zone eines Domain-Namens.

Daher im Falle Ihres example.org Domainname, finde zuerst den .org Namenserver:

% dig +short org. NS
a0.org.afilias-nst.info.
a2.org.afilias-nst.info.
b0.org.afilias-nst.org.
b2.org.afilias-nst.org.
c0.org.afilias-nst.info.
d0.org.afilias-nst.org.

Wenn Sie so viele Tests durchführen möchten, fragen Sie explizit diese Nameserver nach dem NS Datensätze für Ihre Domain:

% dig +norec @a0.org.afilias-nst.info. example.org. NS

Sie sollten die korrekte Liste von erhalten NS Aufzeichnungen in der "ANTWORT-ABSCHNITT". Für jeden Nameserver, der Kleber richtig konfiguriert hat, sollten Sie diesen Kleber sehen A (und / oder AAAA) Datensätze erscheinen im "ADDITONAL SECTION".


41
2018-05-17 10:24



Für meine Domäne enthält der zusätzliche Abschnitt den Klebstoffdatensatz, aber auch mehrere andere NS-Datensätze, die nicht Teil des Klebstoffs sind, den ich in der Registrierung festgelegt habe. Wie kann ich diese unterscheiden? - Calimo


Um zu überprüfen, ob ein GLUE-Datensatz eingerichtet ist:

dig +trace @a.root-servers.net ns0.nameserverhere.com

Wenn der GLUE eingerichtet ist, sollten Sie einen Datensatz sehen, der endet mit:

“Recevied XXX bytes from x.GTLD-SERVERS.NET.”

Es gibt auch Websites, die es für Sie tun werden, wie http://www.intodns.com/


7
2018-05-16 12:55



Vielen Dank, die App hat super geklappt und alle grünen Zecken auf dem Kleber und den NS-Sachen bekommen. Ich bekomme den Dig-Befehl allerdings nicht. Ich habe eine empfangene Nachricht erhalten. Insbesondere bekam ich das: "Empfangen von 433 Bytes von 192.33.4.12 # 53 (c.root-servers.net) in 183 ms." Aber dann endet es mit: "Zeitüberschreitung der Verbindung; keine Server konnten erreicht werden" Ich erhalte auch ähnliche Nachrichten, wenn eine Zufallszahl für den NS-Teil verwendet wird, z. ns384289.beispiel.org.
dieser Dig Diagnosetest ist völlig falsch ... - Alnitak
Ich weiß, das ist alt, aber sehr hilfreich. Ich leitete die Ergebnisse in sed / awk, um den Stamm vs. Nameserver zu vergleichen, um nicht übereinstimmende NS-Datensätze zu identifizieren. - jeffatrackaid


Hier ist ein kleines Shell-Skript, das Alnitaks Antwort implementiert:

#!/bin/sh
S=${IFS}
IFS=.
for P in $1; do
  TLD=${P}
done
IFS=${S}

echo "TLD: ${TLD}"
DNSLIST=$(dig +short ${TLD}. NS)
for DNS in ${DNSLIST}; do
  echo "Checking ${DNS}"
  dig +norec +nocomments +noquestion +nostats +nocmd @${DNS} $1 NS
done

Übergeben Sie den Namen der Domäne als Parameter:

./checkgluerecords.sh example.org

4
2017-12-13 11:40





dig +trace ist im Allgemeinen der einfachste Weg, die Delegationskette zu inspizieren. Die Glue-Datensätze befinden sich jedoch im zusätzlichen Abschnitt und standardmäßig enthält die Trace-Ausgabe den zusätzlichen Abschnitt nicht. Sie müssen explizit angeben, dass dies in der Ausgabe enthalten sein soll.

dig +trace +additional example.com


Wenn es darum geht, die Integrität der Delegationskette zu überprüfen, werden Sie wahrscheinlich das Autoritative sehen wollen NS Aufzeichnungen auch, in diesem Fall:

dig +trace +additional example.com NS

2
2017-12-13 13:32





Sie können auch verwenden whois, wo die Registrierung es unterstützt, um das Vorhandensein von Klebstoff für einen bestimmten Nameserver direkt zu überprüfen. Um beispielsweise einen der Nameserver von serverfault.com zu überprüfen:

whois ns-860.awsdns-43.net.

Für eine prägnantere Antwort:

whois ns-860.awsdns-43.net. | grep "No match\|IP" | xargs

Hinweis: Dies wird sicherlich für Nameserver im .net- und .com-Namespace funktionieren, aber wahrscheinlich nicht für die meisten anderen Registries.


0
2018-02-14 09:45



Whois ist wirklich nicht das richtige Werkzeug für die Existenz von Klebstoff zu fragen. dig ist angemessener. - sendmoreinfo
Ich stimme nicht zu: Sie können direkt überprüfe das Vorhandensein von Leim mit whois (d. h. ohne dass eine Domäne benötigt wird, die an diesen Nameserver delegiert wurde), aber jetzt, da ich das überprüft habe, ist dies bei .org TLD nicht der Fall. Meine Antwort ist korrekt für .net / .com, aber das war nicht die ursprüngliche Frage, also nehme ich an, es ist keine gute Antwort auf diese Frage. - user3166580
Ich denke auch, dass der entscheidende Punkt zum ursprünglichen Beitrag darin besteht, dass es nicht möglich gewesen wäre, die Domäne an die Nameserver zu delegieren, wenn der Kleber in der übergeordneten Partzone nicht vorhanden wäre. d. h., weil Sie keine leimlosen In-Voissi-Namenserver haben können. - user3166580
Ihre Antwort ist für keine der beiden TLDs korrekt. whois hat nichts mit funktionierendem DNS zu tun und ist nicht das Werkzeug, um Klebstoffe zu sehen. Sie können mit whois nach Nameservern suchen, die in Registern existieren, aber die Tatsache, dass der Nameserver hier in einem Objekt gespeichert ist, bedeutet nicht, dass es von der Domäne verwendet wird, in der es bailiwick ist, was der einzige Fall ist, in dem es veröffentlicht werden muss kleben. - Patrick Mevzek