Co to jest płyta z klejem?

Odpowiedzi:

129

Rekord kleju to termin, który jest obsługiwany przez serwer DNS, który nie jest autorytatywny dla strefy, aby uniknąć warunku niemożliwych zależności dla strefy DNS.

Powiedz, że jestem właścicielem strefy DNS example.com. Chcę mieć serwery DNS that're gospodarzem autorytatywną strefę dla tej domeny, aby można było z niej korzystać - dodawanie rekordów do katalogu głównego domeny www, mailitp Więc umieścić serwery nazw w rejestracji do delegowania do je - to są zawsze imiona, więc wstawimy ns1.example.comi ns2.example.com.

Jest sztuczka. Serwery TLD będą delegować na serwery DNS w rekordzie whois - ale one są w środku example.com. Starają się znaleźć ns1.example.com, zapytaj .comserwerów i uzyskać odesłana do ... ns1.example.com.

Rekordy kleju umożliwiają serwerom TLD wysyłanie dodatkowych informacji w odpowiedzi na zapytanie o example.comstrefę - w celu wysłania adresu IP skonfigurowanego również dla serwerów nazw. Nie jest autorytatywny, ale jest wskaźnikiem do autorytatywnych serwerów, umożliwiając rozwiązanie pętli.

Shane Madden
źródło
57

Poprosiłem o połączenie tej odpowiedzi z duplikatu pytania, ponieważ istniejące odpowiedzi nie wyjaśniały roli tej ADDITIONALsekcji.

Aby zobaczyć, jak to działa, wpisz: dig +trace +additional google.com SOA

Spowoduje to śledzenie uprawnień serwera nazw od serwerów głównych ( +trace). Dodanie +additionalpokaże również ADDITIONALsekcję każdej odpowiedzi serwera DNS. Zwykle większość ludzi myśli o DNS w kategoriach QUESTIONi ANSWERsekcjach, ale ADDITIONALodgrywa również ważną rolę: jeśli serwer nazw zna odpowiedzi na wszelkie zapytania związane z odpowiedzią, może uprzednio dostarczyć te odpowiedzi w ADDITIONALsekcji, nie wymagając dodatkowe zapytania od klienta.

Pamiętaj, że autorytatywne serwery nazw dla google.comsą zakorzenione w domenie, dla której są autorytatywne. ( ns1.google.com, ns2.google.comEtc.)

Gdy poprosisz serwer nazw o dostarczenie listy serwerów nazw dla domeny, często podadzą listę Arekordów -typów (adresów IP) w ADDITIONALsekcji, a nie tylko NSodpowiedzi -typów: są to tak zwane rekordy kleju , stosowane w celu zapobiegania cyklicznym zależności. W takim przypadku Arekordy te są obsługiwane z serwerów nazw TLD (.com, .org itp.) Na podstawie adresów IP, które ktoś podał rejestratorowi DNS odpowiedzialnemu za domenę. Zwykle można je zmienić, logując się do interfejsu administratora, który dostarczają.

(zrzeczenie się: AAAArekordy zawierające adresy IPV6 mogą być również dostarczone jako część kleju, ale dla uproszczenia pominąłem to).

Andrew B.
źródło
Dziękuję za szczegółowe wyjaśnienie. Dużo się nauczyłem.
Egemenk
Bardzo dobre wytłumaczenie. Żałuję, że nie natknąłem się na ten szczegół rozwiązania problemu zależności cyklicznych przed moją ostatnią rozmową o pracę. Jestem prawie pewien, że moja nieświadomość na ten temat bardzo mnie kosztowała.
konwerter42
@ converter42 Szczerze mówiąc, nie sądzę, że większość sysadminów spodziewa się, że dobrze odpowiesz na to pytanie. Jestem potencjalnym klientem DNS i na pewno nie. To ma mi powiedzieć, kiedy rozmówca wie DNS lepiej niż 80% innych administratorów chociaż. :)
Andrew B,
1
@Patrick Dodatkowa sekcja nie jest domyślnie włączona podczas wykonywania +trace. Właśnie dlatego tam jest.
Andrew B
1
@AndrewB zauważył, ale wydaje się, że przynajmniej zależy to od wersji dig lub czegoś innego, w moich dig +tracetestach dodanie w +additionalogóle nie zmienia wyniku)
Patrick Mevzek
36

Na Wikipedii znajduje się dokładne (zwięzłe) wyjaśnienie .
Cytować:

Zależności kołowe i zapisy kleju

Serwery nazw w delegacjach są identyfikowane według nazwy, a nie adresu IP. Oznacza to, że rozstrzygający serwer nazw musi wydać kolejne żądanie DNS, aby znaleźć adres IP serwera, do którego został skierowany.
Jeśli nazwa podana w delegacji jest poddomeną domeny, dla której przekazana jest delegacja, istnieje zależność cykliczna. W takim przypadku serwer nazw zapewniający delegację musi również podać jeden lub więcej adresów IP dla autorytatywnego serwera nazw wymienionego w delegacji. Ta informacja nazywa się klejem.

. . .

Na przykład, jeśli autorytatywnym serwerem nazw dla example.org jest ns1.example.org, komputer próbujący rozwiązać www.example.org najpierw rozpoznaje ns1.example.org. Ponieważ ns1 jest zawarty w example.org, wymaga to najpierw rozwiązania example.org, który przedstawia zależność cykliczną.
Aby przełamać tę zależność, serwer nazw dla domeny najwyższego poziomu organizacji zawiera klej wraz z delegacją na przykład.org. Rekordy kleju to rekordy adresów zapewniające adresy IP dla ns1.example.org. Program tłumaczący używa jednego lub więcej z tych adresów IP, aby wysłać zapytanie do jednego z autorytatywnych serwerów domeny, co pozwala mu wykonać zapytanie DNS.

voretaq7
źródło
30

Po wiecznych poszukiwaniach i przeczytaniu wielu informacji o klejach i wciąż niezrozumieniu, co to są lub jak je zrobić, w końcu znalazłem odpowiedź i jest to bardzo prosta.

Rozumiem, że skądś nie ma żadnych magicznych dodatkowych informacji, tak to działa.

Załóżmy, że twoja domena to example.com i chcesz używać własnych serwerów nazw ns1.przyklad.com i ns2.przyklad.com, potrzebujesz co najmniej dwóch serwerów DNS.

  • ns1.przyklad.com ma adres IP 192.0.2.10
  • ns2.example.com ma adres IP 192.0.2.20

Aby to zadziałało, potrzebujesz najwyższego właściciela domeny, aby umieścił w swoim DNS następujące rekordy.

example.com NS ns1.example.com
example.com NS ns2.example.com

ns1.example.com A 192.0.2.10 
ns2.example.com A 192.0.2.20

Te dwa rekordy A to rekordy kleju i muszą znajdować się w najwyższej domenie, w tym przypadku .com, i nie wszyscy rejestratorzy mogą to zrobić za Ciebie.

Jeśli to źle, popraw mnie. Pomyślałem, że próbuję wyjaśnić w prosty sposób innym, którzy nie mogą znaleźć poprawnej odpowiedzi.

hasse
źródło
4
Jedynym zastrzeżeniem dla twojej odpowiedzi jest to, że zapisy klejów nie ograniczają się do pojawienia się w domenach najwyższego poziomu. Możesz także mieć sub.example.comdelegowane do ns1.sub.example.comi ns2.sub.example.comw example.comstrefie. Serwery nazw dla comoddelegowały example.comsię od siebie i nie mogą zapewnić kleju żadnemu z jego dzieci.
Andrew B,
3
Kluczową kwestią wydaje się być to, że bez rekordu kleju, jeśli żądana subdomena i serwer nazw znajdują się pod tą samą domeną, utkniesz w nieskończonej pętli: sub.example.com-> example.com-> ns1.example.com-> example.com-> ns1.example.com... i itd.
Daniel Waltrip
Mam pierdnięcie mózgu i za każdym razem, gdy czytam wyjaśnienie kleju, nie otrzymuję wystarczającej ilości informacji - ponieważ jestem pewien, że nie mam wiedzy o znaczeniu tych terminów ... w tej odpowiedzi, kiedy @ hasse, gdy mówisz „Te dwa rekordy A to rekordy kleju i muszą znajdować się w najwyższej domenie” ... co dokładnie rozumiesz przez „najwyższą domenę”?
Claud
1
@Zgłoś domenę najwyższą (myślę, że ma na myśli domenę najwyższego poziomu lub TLD) to domeny takie jak com, net, org, (i lista jest długa) znajdujące się na górze hierarchii domen. Każda nazwa domeny jest poddomeną innej oprócz tych domen najwyższego poziomu.
frezq
Nie widzę, jak rejestry domen pasują do tych odpowiedzi na temat zapisów klejów. Mój rejestr domeny ma DNS, który może wskazywać własny serwer nazw lub mój niestandardowy serwer nazw. Ale nie mogę zmienić TTL, więc mogę szybko migrować strony internetowe. Czy to ma jakiś związek z zapisami klejów?
David Spector