Como referenciar outra entrada DNS de uma zona primária ( BIND 9 )

Um CNAMEregistro especifica que o nome do lado esquerdo do CNAMEregistro é um alias do nome do lado direito - para todos os tipos de registros DNS , não apenas para Aregistros. O bit em negrito é o que está causando o problema aqui, porque "todos os tipos de registro" também incluem a zona SOAe os NSregistros.

Você está tentando usar um CNAMEregistro no ápice da second.comzona, onde o SOAregistro também reside. Assim escrito de uma forma totalmente qualificada, seu primeiro CNAMEdiz:

second.com.  IN CNAME subdomain.first.com.

Como resultado, quando o registro SOA de second.comé solicitado, o registro SOA de subdomain.first.comdeve ser retornado. Mas então o registro SOA real de second.comficará inacessível e, sem esse registro SOA, todo o second.comdomínio será quebrado - o que significa que o CNAMEregistro apontado subdomain.first.comnão é realmente válido.

Além disso, se subdomain.first.comnão for o ápice de sua própria zona, mas apenas um subdomínio em uma zona de nível superior, ele não terá registro SOA próprio: seguir o mapeamento CNAME significaria que uma solicitação para second.como registro SOA de 's teria que ser respondido com um "não existe tal registro, definitivamente". Mas se não houver registro SOA para a second.comzona, a zona não existe.

Da mesma forma, quando os registros NS de second.comsão solicitados, CNAMEseria necessário responder com os registros NS de subdomain.first.com. Mas os servidores de nomes do subdomain.first.comnão são obrigados a saber nada sobre second.com.

Para evitar situações paradoxais como esta, a Seção 3.6.2 da RFC 1034 diz :

Se um CNAME RR estiver presente em um nó, nenhum outro dado deve estar presente; isso garante que os dados de um nome canônico e seus aliases não possam ser diferentes. Essa regra também garante que um CNAME armazenado em cache possa ser usado sem verificar com um servidor autorizado outros tipos de RR.

(Observe que a RFC 1034 é anterior à convenção de usar as palavras DEVE , DEVE e PODE estritamente de acordo com o nível de exigência, conforme definido na RFC 2119. Embora diga "nenhum outro dado deve estar presente", isso é uma exigência, não uma recomendação, pois a exatidão do cache DNS depende disso.)

Essa regra impossibilita que um CNAMEregistro viva no ápice de uma zona, porque os registros SOAe NSsão necessários no ápice para que a zona exista de forma significativa, e qualquer CNAMEregistro junto com eles violaria essa regra.

Para obter mais detalhes, consulte: https://www.isc.org/blogs/cname-at-the-apex-of-a-zone/

@                        IN CNAME       subdomain.first.com.
www                      IN CNAME       @

Além disso, apontar um CNAMEregistro para outro CNAMEregistro é ineficiente e de mau estilo, embora tecnicamente funcione. Você deve sempre ir diretamente para o nome canônico no final da cadeia:

@                        IN CNAME       subdomain.first.com.
www                      IN CNAME       subdomain.first.com.