Início / server / Perguntas / 785230
Accepted
symcbean
Asked: 2016-06-22 01:15:56 +0800 CST

Como os servidores DNS respondem aos registros cola ausentes?

  • 772

Atualmente, estou fazendo alguns benchmarks no serviço DNS no meu local de trabalho. Uma das maiores anomalias que isso está gerando é um número significativo de domínios onde, em alguns casos, a pesquisa está retornando uma resposta NXDOMAIN, enquanto em outros estou obtendo uma resposta válida para uma pesquisa MX.

(Os domínios em questão são externos)

Embora seja possível que isso se deva a uma diferença na configuração entre um par de servidores autoritativos, percebi que não sei qual resposta esperar quando tento resolver um domínio sem registros cola. (links para fontes autorizadas seriam apreciados).

domain-name-system

1 respostas

  1. Best Answer

    Estritamente falando, a cola só é necessária em um cenário: servidores de nomes dentro de um corte de zona definido pela mesma zona. RFC 1034 §4.2.1 torna isso explícito, ênfase minha:

    Um dos objetivos da estrutura da zona é que qualquer zona tenha todos os dados necessários para configurar as comunicações com os servidores de nome de qualquer subzona. Ou seja, as zonas pai possuem todas as informações necessárias para acessar os servidores de suas zonas filhas. Os NS RRs que nomeiam os servidores para subzonas muitas vezes não são suficientes para esta tarefa, pois eles nomeiam os servidores, mas não fornecem seus endereços. Em particular, se o próprio nome do servidor de nomes estiver na subzona, podemos nos deparar com a situação em que os NS RRs nos dizem que, para saber o endereço de um servidor de nomes, devemos entrar em contato com o servidor usando o endereço que desejamos aprender. Para corrigir esse problema, uma zona contém RRs "colados" que não fazem parte dos dados autoritativos e são RRs de endereço para os servidores.Esses RRs são necessários apenas se o nome do servidor de nomes estiver "abaixo" do corte e são usados ​​apenas como parte de uma resposta de referência.

    A ideia de que a cola é "necessária" no nível do registro/registrador é uma falácia generalizada, emergindo principalmente da época em que havia poucos gGTLDs para escolher. Como o número de TLDs para escolher aumentou constantemente ao longo dos anos, está se tornando cada vez mais comum encontrar referências de TLD sem cola. Veja goo.glpor exemplo:

    $ dig @d.nic.gl +noall +authority +additional goo.gl
goo.gl.                 86400   IN      NS      ns4.google.com.
goo.gl.                 86400   IN      NS      ns3.google.com.
goo.gl.                 86400   IN      NS      ns1.google.com.
goo.gl.                 86400   IN      NS      ns2.google.com.

    Observe a notável falta de dados ADICIONAIS aqui. glnão precisa fornecer cola para nada dentro de com. Quando esse cenário é encontrado, torna-se necessário recorrer ao comTLD para obter o endereço IP de um desses servidores de nomes. Qualquer cola encontrada ao longo do caminho será seguida normalmente. Não citarei o RFC 1034 §4.3.2 aqui, pois é um tanto tolo reafirmar os fundamentos básicos da operação.

    Em suma, a cola só é obrigatória quando os padrões ou a política de registradores (ou registros) específicos a exigem. O último exigindo isso não é necessariamente uma indicação do primeiro. Nos casos em que uma delegação sem cola dos TLDs é encontrada, é simplesmente normal.

    Se a cola estivesse faltando em um cenário em que é necessária (sua pergunta real, suspeito) e nenhum outro servidor de nomes estivesse disponível para fornecer a resposta autoritativa , esse seria um caso claro de SERVFAIL. NXDOMAINimplicaria que um servidor autoritativo poderia ser alcançado, o que não é o caso aqui. O servidor que define o corte de zona não tem autoridade para dados abaixo do corte ( RFC 2181 §6.1 ), e uma incapacidade de alcançar os servidores autoritativos significa que você chegou a um beco sem saída.

    • 0

relate perguntas