Limitările înregistrărilor Glue pentru serverele de nume autorizate

Încerc să configurez niște servere de nume pentru a fi utilizate de multe domenii, dar se pare că există unele probleme cu configurarea mea și nu sunt clar ce trebuie remediat pentru ca acesta să funcționeze.

Pentru serverele mele de nume, este configurat după cum urmează:

1. Am mai multe domenii de server de nume, ns-com.exemplu, ns-net.exemplu, ns-org.exemplu.
2. Am mai multe servere de nume. Serverele de nume corespund propriului subdomeniu.

ns1 => 192.0.2.123
ns2 => 192.0.2.124
ns3 => 192.0.2.125
ns4 => 192.0.2.126

3. Fiecare domeniu are ns1 și ns2 pentru serverele sale de nume. Prin urmare, am creat înregistrări cu lipici pentru fiecare. Rețineți că aceasta înseamnă că nu există înregistrări lipici pentru ns3 și ns4. Exemplu de ieșire de excavare de pe serverul gTLD:

; <<>> DiG 9.16.1-Ubuntu <<>> +norec @c.gtld-servers.net. ns-net.exemplu.
; (2 servere găsite)
;; opțiuni globale: +cmd
;; Am răspuns:
;; ->>HEADER<<- opcode: QUERY, stare: NOERROR, id: 11669
;; steaguri: qr; ÎNTREBARE: 1, RĂSPUNS: 0, AUTORITATE: 2, SUPLIMENTARE: 3

;; PSEUDOSECȚIE OPT:
; EDNS: versiunea: 0, steaguri:; udp: 4096
;; SECȚIUNEA DE ÎNTREBĂRI:
;ns-net.exemplu. ÎN A

;; SECȚIUNEA AUTORITATE:
ns-net.exemplu. 172800 ÎN NS ns1.ns-net.exemplu.
ns-net.exemplu. 172800 ÎN NS ns2.ns-net.exemplu.

;; SECȚIUNE SUPLIMENTARĂ:
ns1.ns-net.exemplu. 172800 IN A 192.0.2.123
ns2.ns-net.exemplu. 172800 ÎN A 192.0.2.124

;; Timp de interogare: 23 ms
;; SERVER: 192.26.92.30#53(192.26.92.30)
;; CÂND: Luni, 13 decembrie 14:34:20 EST 2021
;; MSG SIZE rcvd: 109

4. Dacă cineva ar efectua o interogare NS, fiecare server de nume ar răspunde cu răspunsurile ns1 și ns2 corespunzătoare cu adresele IP enumerate în secțiunea suplimentară.

; <<>> DiG 9.16.1-Ubuntu <<>> +norec @ns1.ns-net.example. ns-net.exemplu. NS
; (1 server găsit)
;; opțiuni globale: +cmd
;; Am răspuns:
;; ->>HEADER<<- opcode: QUERY, stare: NOERROR, id: 16843
;; steaguri: qr aa; ÎNTREBARE: 1, RĂSPUNS: 2, AUTORITATE: 0, SUPLIMENTARE: 3

;; PSEUDOSECȚIE OPT:
; EDNS: versiunea: 0, steaguri:; udp: 4096
; COOKIE: d757529672f25fcb (respectat)
;; SECȚIUNEA DE ÎNTREBĂRI:
;ns-net.exemplu. ÎN NS

;; SECȚIUNEA RĂSPUNSURI:
ns-net.exemplu. 14400 ÎN NS ns1.ns-net.exemplu.
ns-net.exemplu. 14400 ÎN NS ns2.ns-net.exemplu.

;; SECȚIUNE SUPLIMENTARĂ:
ns1.ns-net.exemplu. 300 IN A 192.0.2.123
ns2.ns-net.exemplu. 300 IN A 192.0.2.124

;; Timp de interogare: 11 ms
;; SERVER: 192.0.2.123#53(192.0.2.123)
;; CÂND: Luni, 13 decembrie, 14:36:56 EST 2021
;; MSG SIZE rcvd: 191

Efectuarea unei interogări de căutare către oricare dintre serverele de nume pentru oricare dintre celelalte servere de nume va returna IP-ul așa cum era de așteptat:

; <<>> DiG 9.16.1-Ubuntu <<>> +norec @ns1.ns-net.example. ns3.ns-net.exemplu.
; (1 server găsit)
;; opțiuni globale: +cmd
;; Am răspuns:
;; ->>HEADER<<- opcode: QUERY, stare: NOERROR, id: 63226
;; steaguri: qr aa; ÎNTREBARE: 1, RĂSPUNS: 1, AUTORITATE: 0, SUPLIMENTARE: 1

;; PSEUDOSECȚIE OPT:
; EDNS: versiunea: 0, steaguri:; udp: 4096
; COOKIE: 5786fc62c3f155e8 (respectat)
;; SECȚIUNEA DE ÎNTREBĂRI:
;ns3.ns-net.exemplu. ÎN A

;; SECȚIUNEA RĂSPUNSURI:
ns3.ns-net.exemplu. 300 ÎN A 192.0.2.125

;; Timp de interogare: 15 ms
;; SERVER: 192.0.2.123#53(192.0.2.123)
;; CÂND: Luni, 13 decembrie, 14:39:46 EST 2021
;; MSG SIZE rcvd: 87

Acum pentru problema:

Am un domeniu site-net.exemplu pentru care aș dori să folosesc serverele mele de nume. Pot atribui ns1.ns-net.exemplu și ns2.ns-net.exemplu amenda. Cu toate acestea, nu pot aloca ns3.ns-net.exemplu și ns4.ns-net.exemplu. eu poate sa atribui ns3.ns-org.exemplu și ns4.ns-org.exemplu.

De ce asta? Presupunerea mea este că problema este cauzată de inexistența înregistrărilor glue pentru ns3 și ns4 (din moment ce serverele gTLD .com și .net partajează), dar din câte știu, aceasta nu este o condiție prealabilă atunci când serverul de nume este un domeniu diferit.

Dacă aceasta este o cerință, aș dori să știu cum se testează pentru această situație. ns3 și ns4 nu sunt listate ca servere de nume pentru domeniile serverului de nume, deci dacă ar exista acele înregistrări lipici nu ar fi returnate la rulare săpa împotriva serverelor gTLD.

De asemenea, dacă acesta este cazul, se aplică acest lucru tuturor TLD-urilor? Pot adăuga o limitare suplimentară în cazul în care dacă domeniul este un TLD .com pentru a evita, de asemenea, ns3/4 al TLD-ului .net și invers, dar caut informații concrete ca să știu de ce l-am implementat în acest mod.

Editare: au adăugat câteva ieșiri de săpătură (obfuscate).

De asemenea, a existat o solicitare de a clarifica ce vreau să spun prin „atribuie” și de ce cred că este o problemă cu lipiciurile. Folosesc Google Domains pentru registratorul site-ului meu de testare. Când încerc să setez serverele de nume personalizate ale domeniului la ns3.ns-net.exemplu și ns4.ns-net.exemplu, primesc o eroare „Registrul a respins serverele de nume” cu un link către Înregistrări Google Domains Glue resursă.

În primul rând, întrebarea dvs. ar fi MULT mai utilă și mai ușor de răspuns dacă ați da nume reale în loc să ofuscați totul (și v-am editat confucările).

Mai ales ca:

• cazul tau NU este despre lipici. Numele serverelor de nume pe care le folosiți nu sunt „sub” domeniile care le folosesc, așa că nu există lipici (exact unde lucrurile ar fi mai simple dacă ați da nume reale); cleiurile sunt returnate de serverul de nume autorizat de registru NUMAI atunci când este necesar (adică atunci când se solicită NS înregistrările pe domeniul de bază sub care se află numele serverului de nume) și nu ar trebui returnate pentru niciun alt domeniu aleatoriu folosind acele servere de nume (și orice server de nume recursiv le-ar ignora oricum, din motive de securitate pentru a evita otrăvirea cache-ului)
• spuneți: „Totuși, nu pot aloca”, ceea ce este neclar. Ce ai facut mai exact? Unde? Ce erori ai primit? etc.

Like pentru:

Dacă cineva ar efectua o interogare NS, fiecare server de nume ar răspunde cu răspunsurile ns1 și ns2 corespunzătoare cu adresele IP enumerate în secțiunea suplimentară.

În loc de asta, dă real săpa interogări care arată exact ceea ce ați făcut și rezultatele. Poate doriți să vă uitați și la DNSViz online, un instrument foarte bun de depanare.

Am un domeniu site-net.example pentru care aș dori să-mi folosesc serverele de nume. Pot aloca ns1.ns-net.example și ns2.ns-net.example bine.

Din nou, nu există adezivi implicați aici, deoarece numele serverelor dvs. de nume nu folosesc domeniile (site-net.exemplu) le folosești pentru.

Fiecare domeniu are ns1 și ns2 pentru serverele sale de nume. Prin urmare, am creat înregistrări cu lipici pentru fiecare.Rețineți că aceasta înseamnă că nu există înregistrări lipici pentru ns3 și ns4.

Lipiciurile sunt necesare NUMAI dacă se folosește serverul de nume. În caz contrar, multe registre nu vor solicita acolo sau o vor solicita la crearea obiectului gazdă, dar evident că nu vor publica nimic pe serverele lor de nume autorizate.

În ceea ce privește regulile, sunt prea multe, atât la nivel de registrator, cât și la nivel de registry, așa că, fără mai multe detalii de la tine, este aproape imposibil să te ajuți (și mai ales că se pare că și tu ceri „toate” TLD-urile):

Există, printre altele:

• limita (min și max) a numărului de servere de nume pe care le puteți avea pe domeniu (și multe registre mici acceptă doar 2 servere de nume pe domeniu, nu mai multe)
• și limitează numărul de adrese IP pe servere de nume
• pot exista teste de delegare, în care serverele dumneavoastră de nume sunt testate pentru configurarea corectă pe măsură ce le afectați (care pot testa dacă IP-urile sunt separate sau nu etc.)
• unele registre folosesc gazde ca obiecte, altele ca atribute (chiar dacă aceasta devine o excepție)
• Adresele IP ale gazdei pot fi opționale sau necesare la crearea obiectului gazdă sau pot fi întrebate mai târziu dacă dintr-o dată începe să fie folosit un nume acolo unde este nevoie de un lipici.
• etc.

dar caut informatii concrete ca sa stiu de ce am implementat-o ​​in acest mod.

Cereți informații contrete bazate pe detalii complet neconcrete, așa că nu este posibil. De asemenea, registratorul dvs. ar trebui să poată oferi mai multe detalii, în special pentru cazurile în care spuneți „Nu pot să atribui”, așa că ar trebui să vă poată explica lucrurile cu detalii concrete. Aici nu se poate fără mai multe detalii de la tine.