Apa itu Delegasi DNS?

22

Dalam jawaban atas pertanyaan saya sebelumnya, saya perhatikan baris-baris ini:

Biasanya tahap delegasi terakhir ini yang rusak dengan sebagian besar pengaturan pengguna rumah. Mereka telah melalui proses pembelian domain dengan registrar / penyedia layanan, tetapi kemudian gagal mengkonfigurasi domain untuk mengarahkan delegasi ke server nama mereka sendiri. Anda benar-benar harus memberi tahu registrar di mana server nama Anda berada sebelum mereka dapat menempatkan catatan lem di tempat untuk mendapatkan langkah delegasi Anda untuk bekerja.

Apa itu Delegasi DNS? Bagaimana cara kerjanya? Penjelasan lengkap untuk domain hipotetis abc.comakan sangat membantu.

Nishan
sumber

Jawaban:

24

Secara fisik, delegasi sangat mirip dengan bagaimana seorang manajer akan mendelegasikan tanggung jawab tugas kepada stafnya. Hasilnya sama, namun lebih dari satu orang terlibat dalam proses tersebut. Manajer menerima permintaan untuk bekerja, meneruskan tanggung jawab kepada anggota staf lain dan baik anggota staf atau manajer kembali dengan hasil pekerjaan. Ini semua berdasarkan ketentuan bahwa pekerjaan yang dilakukan oleh anggota staf sebenarnya benar dan adalah apa yang diminta oleh pemohon yang asli (atau bahwa pemohon yang sebenarnya meminta sesuatu yang sah sejak awal!).

Dengan delegasi DNS, itu sangat mirip. Ketika comserver nama diminta tempat untuk menemukan otoritas zona example.com, mereka sering mendelegasikan pekerjaan ini ke server nama terpisah (pada kenyataannya dalam sebagian besar kasus, mereka sebenarnya mendelegasikan tanggapan ke server nama lain). Saat Anda pertama kali mendaftarkan domain, katakan example.comdomain kami , ini sering dilakukan melalui pihak ketiga yang disebut pendaftar. Ini adalah praktik umum oleh pendaftar untuk memasukkan server nama mereka untuk delegasi dan untuk melayani zona default dari server nama tersebut. Zona default ini mencakup persyaratan dasar untuk melayani zona itu di internet ( SOA,, NSdan Acatatan yang terkait dengan catatan NS tersebut).

Tentunya jika Anda sendiri ingin mengendalikan otoritas domain, Anda harus meminta pendaftar untuk mendelegasikan domain ke server nama Anda. Pendaftar yang berbeda merujuk hal ini dalam proses dengan cara yang berbeda, 'ubah server nama', 'gunakan DNS pihak ketiga', 'Tambahkan catatan Lem' dan seterusnya. Mekanisme di bawahnya tetap sama. Anda memberikan, secara umum, 2 atau lebih "nama server nama" (misalnya ns0.example.comdan ns1.example.com) dan alamat IP di mana ns0dan ns1sekarang. Mereka kemudian memproses permintaan dan delegasi diarahkan dari registrar Anda ke server nama yang Anda berikan.

Dalam istilah teknis, itu pada titik ini Anda harus memastikan nameserver Anda dan berjalan, melayani domain example.com, dengan minimum dari SOA(mulai dari catatan otoritas), 1 atau lebih NScatatan dan Acatatan (IP) bahwa catatan NS ini diselesaikan dari:

example.com.   IN SOA ns0.example.com. hostmaster.example.com. ( 10 3600 900 604800 7200 )
           IN NS  ns0.example.com.
           IN NS  ns1.example.com.
ns0        IN A   192.0.2.8
ns1        IN A   192.0.2.44

(Saya telah memilih beberapa nilai arbitrer untuk nilai-nilai SOA, nama-nama untuk catatan NS dan IP yang ditangani oleh server nama tersebut). Ini semua harus mencerminkan zona yang Anda layani.

Layanan DNS ini harus dapat dilihat dari mana saja di internet, dan tidak dibobol (yaitu port 53 udp dan tcp yang masuk harus diizinkan). Juga penyedia layanan Anda tidak boleh memblokir port itu (yang beberapa penyedia memblokir lalu lintas masuk yang ditujukan ke port tersebut).

Mengingat perbandingan asli saya, comnameserver adalah manajer DNS, yang mendelegasikan zona example.comke nameserver (anggota staf) untuk melakukan pekerjaan memberikan informasi zona dasar ( SOA, NS, A). Anda juga bisa menyajikan catatan tambahan apa pun seperti catatan server surat MXatau mungkin Acatatan untuk www.example.comalamat Anda .

Jika server nama itu tidak melakukan pekerjaan, mengembalikan hasil yang salah, atau memiliki pihak ketiga (firewall / ISP) memblokir pekerjaan, Anda tidak akan memiliki DNS yang berfungsi dan istirahat delegasi.

Mungkin juga patut dicatat bahwa domain TIDAK harus didelegasikan ke server nama dalam domain yang sama, sehingga ns0.example.netdan ns0.example.orgkeduanya bisa menjadi nameserver yang valid yang bisa example.comdidelegasikan kepada mereka. Asalkan kedua server nama tersebut melayani example.comdomain.

Drav Sloan
sumber
terima kasih @Dav Sloan, karena menjelaskan dalam bahasa yang sederhana
Nishan
2
+1. Saya juga menambahkan bahwa dalam kasus terakhir, di mana server nama bukan bagian dari domain yang sama, tidak perlu untuk catatan "lem", hanya catatan sederhana di pencatat / gTLD. Ini sering membingungkan orang.
GnP
Memberi +1 pada jawabannya! Lem @GnP diperlukan hanya saat ada ketergantungan melingkar. Karena ketika server nama bukan bagian dari domain yang sama, tidak ada ketergantungan melingkar dan itulah mengapa lem tidak diperlukan? Apakah kesimpulan ini benar?
Crazy Psychild
5

Delegasi dalam hal DNS berarti server nama dalam hierarki di atas Anda akan menjawab setiap permintaan ke domain Anda dengan NStanggapan.

Jadi dalam hal abc.comAnda akan melakukannya:

$ dig com.
=>
com.        896 IN  SOA a.gtld-servers.net.  ...

Kemudian permintaan server nama itu secara khusus untuk abc.com:

$ dig abc.com @a.gtld-servers.net.
=>
;; AUTHORITY SECTION:
abc.com.    172800  IN  NS  sens01.dig.com.
abc.com.    172800  IN  NS  sens02.dig.com.
abc.com.    172800  IN  NS  orns01.dig.com.
abc.com.    172800  IN  NS  orns02.dig.com.

Catatan lem berarti bahwa selain nama host server nama Anda, .comotoritas juga tahu tentang alamat IP mereka.

Jika catatan lem diatur, kueri di atas juga akan memberi Anda A/AAAAtanggapan untuk masing-masing server nama.

hroptatyr
sumber
5

Dalam domain Anda, Anda dapat menentukan host yang Anda inginkan, misalnya mymailserver. Untuk terhubung ke server surat Anda, saya harus menggunakan DNS untuk menentukan alamat IP-nya dan untuk itu saya perlu tahu di mana di pohon nama saya harus mencari mymailserver.

Kedengarannya rumit, tetapi untuk itulah kami menggunakan "nama domain yang memenuhi syarat" (FQDN) untuk. Jika Anda menentukan host mymailserverdi domain Anda abc.com., host tersebut memiliki FQDN mymailserver.abc.com.. Dengan informasi itu saya dapat menyelesaikan nama itu ke alamat IP yang benar.

Anda tidak harus membuat semua host formulir <hostname>.abc.com., Anda juga bisa bercabang sesuai keinginan. Anda dapat memiliki servers.abc.com.dan meletakkan semua server Anda di sana, misalnya mymailserver.servers.abc.com.. Anda dapat melakukannya, karena domain abc.com.itu didelegasikan kepada Anda. Yang berarti Anda adalah otoritas untuk meminta domain dan nama domain apa pun yang diakhiri abc.com.. Karena itu, Anda dapat menentukan host dan subdomain cabang ke konten hati Anda.

Delegasi berarti bahwa pemilik domain menghasilkan kontrol penuh atas cabang kepada orang lain. Sama seperti pemilik com.subdomain yang didelegasikan abc.com.kepada Anda, Anda dapat membatalkan subdomain, misalnya def.abc.com.dan mendelegasikannya kepada saya. Dalam domain saya, saya dapat melakukan / mendefinisikan apa pun yang saya inginkan / sukai tanpa harus bertanya atau memberi tahu Anda atau bahkan com.pemiliknya.

Bagaimana cara kerjanya? Anda cukup memasukkan sepotong informasi dalam catatan DNS Anda yang mengatakan "untuk informasi tentang def.abc.comsilakan tanyakan server DNS hisdnsserver.def.abc.com.". Tentu saja, untuk menanyakan server itu, seseorang harus mengetahui alamat IP-nya hisdnsserver.def.abc.com.. Untuk itulah catatan lem dibuat. Anda benar-benar menaruh 2 informasi, satu yang baru saja dinyatakan, dan yang lainnya adalah alamat IP hisdnsserver.def.abc.com.. Dengan begitu, Anda memberi siapa pun pertanyaan tentang def.abc.com.informasi yang cukup untuk mengarahkan mereka ke otoritas subdomain itu.

Mengapa program menanyakan tentang Anda def.abc.com.sejak awal? Karena Anda adalah otoritas untuk abc.com.dan otoritas untuk com.memberi pemohon dua informasi tentang yourdnsserverdan abc.com....

pengguna1129682
sumber
+1 untuk akhiran "." di FQDN. yang keliru sering dihilangkan.
nass