Route53: Где хранятся записи SOA и NS?

Согласно документации AWS, Route 53 должен быть авторитетным сервером имен. Если example.com - это домен, который я купил, и у меня www.example.com указывает на IP 192.0.2.4, тогда , T op L уровень D домен Сервер имен (NS для «.com») хранит сопоставление между авторитетным почтовым сервером (ANS) для домена example.com и примером домена. com, как показано ниже:

example.com. 172800 IN NS ns1.awsdns.com

Итак, это запись NS, и эта запись NS находится на сервере имен TLD для ".com". Я правильно понимаю? Если да, то почему я также могу видеть ту же запись в консоли Route 53? Маршрут 53 должен быть авторитетным сервером имен. Почему авторитетный сервер имен должен хранить указатели на домен example.com, обслуживаемый им самим? Разве тот факт, что ANS для домена example.com - ns1.awsdns.com, должен быть известен NS TLD .com, а не самому Route53?

Кроме того, где будет находиться запись SOA? Будет ли он находиться в самой ANS? Ниже представлена ​​запись SOA:

ns1.awsdns.com admin.awsdns.com 2013022001 86400 7200 604800 300

Это:

  • Основной сервер имен для домена: ns1.awsdns.com

  • Ответственное лицо за домен: admin.awsdns.com

  • метка времени, которая изменяется при обновлении домена: 2013022001

  • Количество секунд до обновления зоны: 86400

  • Количество секунд до повторной попытки неудачного обновления: 7200

  • Верхний предел в секундах, после которого зона считается недействительной: 604800.

  • TTL отрицательного результата: 300.

Если эта запись SOA находится в самой ANS, то есть на самой машине ns1.awsdns.com, то какой смысл этой записи SOA сообщать ANS ns1.awsdns.com что ns1.awsdns.com является основным сервером имен?

Может кто-нибудь убрать путаницу здесь? Я совершенно запуталась.


dns nameservers
person Sheel Pancholi    schedule 08.04.2019    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Почему авторитетный сервер имен должен хранить указатели на домен example.com, обслуживаемый им самим?

Ваш вопрос не относится ни к Amazon, ни к конкретному TLD, ни к положению TLD в дереве DNS, приведенное ниже применяется везде в DNS.

Данный сервер имен (фактически набор серверов имен) является авторитетным в зоне. Следовательно, он имеет полное содержимое зоны, которое включает SOA и NS записи зоны. Он властен над этим.

Но для разрешения зоны ее родительский элемент должен знать набор серверов имен, и, следовательно, этот набор публикуется в родительском элементе.

Итак, у вас есть одна информация в двух местах, но ребенок авторитетен в этом. Может случиться так, что оба были рассинхронизированы, это называется неудачным делегированием. Но от преобразователей ожидается, что они будут верить дочерней версии контента, а не родительской.

В RFC1034 у вас есть это:

Хотя логически часть авторитетных данных, записи RR, которые описывают верхний узел зоны, особенно важны для управления зоной. Эти RR бывают двух типов: RR серверов имен, которые перечисляют, по одной на RR, все серверы для зоны, и одна SOA RR, которая описывает параметры управления зоной.

а про раскол и какая сторона авторитетная:

Записи RR, описывающие разрезы в нижней части зоны, являются NS RR, которые называют серверы для подзон. Поскольку разрезы выполняются между узлами, эти RR НЕ являются частью авторитетных данных зоны и должны быть точно такими же, как соответствующие RR в верхнем узле подзоны. Поскольку серверы имен всегда связаны с границами зоны, записи NS RR находятся только на узлах, которые являются верхним узлом некоторой зоны. В данных, составляющих зону, NS RR находятся в верхнем узле зоны (и являются авторитетными) и на разрезах вокруг нижней части зоны (где они не являются авторитетными), но никогда между ними.

Документ по терминологии DNS (RFC 8499) также пытается уменьшить путаницу:

Авторитетные данные: «Все RR, прикрепленные ко всем узлам от верхнего узла зоны до конечных узлов или узлов выше разрезов по нижнему краю зоны». (Цитата из [RFC1034], раздел 4.2.1) Обратите внимание, что это определение может также непреднамеренно привести к включению любых NS-записей, которые появляются в зоне, даже тех, которые не могут быть действительно авторитетными, потому что есть идентичные NS RR под вырезом зоны. . Это обнаруживает двусмысленность в понятии авторитетных данных, поскольку записи NS на родительской стороне авторитетно указывают на делегирование, даже если сами они не являются авторитетными данными.

Что касается

какой смысл в этой записи SOA, говорящей ANS ns1.awsdns.com, что ns1.awsdns.com является основным сервером имен?

это другая проблема.

Сервер имен, указанный в записи SOA и считающийся основным, на самом деле имеет мало отношения к операциям, за исключением случая динамических обновлений. Когда есть динамические обновления DNS, ожидается, что клиенты будут отправлять свои пакеты на этот хост, если они хотят обновить что-то в зоне, описанной этой записью SOA. Но помимо этого, имя здесь немного актуально. Это может быть даже недостижимо.

Сравните, например, SOA fr. и NS fr.: вы увидите, что первичный сервер имен, указанный в записи SOA, даже не входит в набор авторитетных серверов имен для зоны.

В терминологическом документе DNS говорится следующее:

Первичный мастер: «Основному мастеру присвоено имя в поле SOA MNAME зоны и, необязательно, NS RR». (Цитата из [RFC1996],
Раздел 2.1) [RFC2136] определяет «первичный мастер» как «Главный сервер в корне графа зависимостей AXFR / IXFR. Первичный мастер указывается в поле SOA MNAME зоны и, при необходимости, NS RR.
По определению существует только один основной главный сервер в каждой зоне ».

Идея первичного мастера используется только в [RFC1996] и [RFC2136]. Современная интерпретация термина «основной мастер» - это сервер, который одновременно является полномочным для зоны и получает обновления в зону из конфигурации (например, из главного файла) или из транзакций UPDATE.

Что не полностью отражает реальность, потому что если вы попытаетесь связаться с сервером имен, указанным в записи fr. SOA, вы не получите никакого ответа, так как имя в любом случае не разрешается публично (обычно это называется настройкой «скрытого мастера») .

person Patrick Mevzek    schedule 08.04.2019
comment
Да, родительский элемент example.com - com, потому что есть вырезка зоны (делегирование). Таким образом, у вас будут записи NS для example.com как на com авторитетных серверах имен, так и на example.com авторитетных серверах имен. 2 пятна. Что касается SOA, см. Мою правку, это чисто дочерняя сторона. - person Patrick Mevzek; 08.04.2019
comment
Я верну свой вопрос, чтобы сохранить преемственность ... Я вытащил свой вопрос, чтобы прочитать ваши правки ... - person Sheel Pancholi; 08.04.2019
comment
Данный сервер имен (фактически набор серверов имен) является авторитетным в зоне - вы имеете в виду, что есть ns1.awsdns.com, ns2.awsdns.com и т. Д.? ........... Но для разрешения зоны ее родительский элемент должен знать набор серверов имен, и, следовательно, этот набор публикуется в родительском элементе. - Что это за родитель? NS TLD для .com в этом примере? ........... Итак, у вас есть одна информация в двух местах, но дочерний элемент имеет в этом право. - Какие два пятна? Извините, мои вопросы остались без ответа; Где остается запись SOA? А где в моем примере остается NS-запись? - person Sheel Pancholi; 08.04.2019
comment
Итак, это то, что я понял из вашего сообщения: записи NS присутствуют в ANS для example.com, а также в TLD-NS для .com. TLD-NS, который является родительским, должен знать, какой ANS может предоставить информацию на example.com, где помогают записи NS. Точно такие же записи NS также находятся в ANS (дочернем), например, example.com, который может служить цели предоставления более обновленной информации о первичном сервере имен и т. Д. Что касается записей SOA, они присутствуют только в дочернем это ANS для example.com. Я правильно понимаю? - person Sheel Pancholi; 08.04.2019
comment
Да, ваше понимание правильное. Nitpick: который может служить цели предоставления более обновленной информации о первичном сервере имен, я бы сказал (и попытался сказать в моем ответчике), что оба набора должны совпадать, если они не совпадают, это называется неудачным делегированием, и это проблема это должно быть исправлено, но если есть несоответствие, версия у потомка обычно является авторитетной. Набор NS дочернего элемента, опубликованный в родительском, существует только для того, чтобы разрешить делегирование, так что один, запрашивающий com серверы имен, узнает, что существует вырезка зоны, потому что example.com имеет другие серверы имен. - person Patrick Mevzek; 08.04.2019