web-dev-qa-db-fra.com

Qu'est-ce que la délégation DNS?

En ne réponse à ma question précédente j'ai remarqué ces lignes:

C'est normalement cette dernière étape de délégation qui est rompue avec la plupart des configurations d'utilisateurs à domicile. Ils sont passés par le processus d'achat d'un domaine auprès d'un registraire/fournisseur de services, mais n'ont pas réussi à configurer le domaine pour pointer la délégation vers leurs propres serveurs de noms. Vous devez en fait indiquer au registraire où se trouvent vos serveurs de noms avant de pouvoir mettre en place des enregistrements de collage pour que votre étape de délégation fonctionne.

Qu'est-ce qu'une délégation DNS? Comment ça marche? Une explication complète du domaine hypothétique abc.com serait utile.

23
Nishan

En termes physiques, la délégation est très similaire à la façon dont un gestionnaire déléguera la responsabilité des tâches à son personnel. Les résultats sont les mêmes, mais plus d'une personne a été impliquée dans le processus. Le gestionnaire reçoit la demande de travail, transmet la responsabilité à un autre membre du personnel et le membre du personnel ou le gestionnaire revient avec les résultats du travail. Tout cela à condition que le travail effectué par le membre du personnel soit en fait correct et soit ce que le demandeur initial a demandé (ou que le demandeur a effectivement demandé quelque chose qui était valable en premier lieu!).

Avec la délégation DNS, c'est assez similaire. Lorsque les serveurs de noms com sont invités à indiquer où trouver l'autorité de la zone example.com, ils délèguent souvent ce travail à des serveurs de noms séparés (en fait, dans la grande majorité des cas, ils délèguent en fait la réponse à d'autres serveurs de noms). Lorsque vous enregistrez un domaine pour la première fois, dites notre example.com domaine, cela se fait souvent par le biais d'un tiers appelé registraire. Il est courant pour les bureaux d'enregistrement de mettre leurs serveurs de noms pour la délégation et de desservir une zone par défaut à partir de ces serveurs de noms. Cette zone par défaut inclut les exigences de base pour desservir cette zone sur Internet (les enregistrements SOA, NS et A associés à ces NS enregistrements).

Évidemment, si vous voulez vous-même prendre le contrôle de l'autorité du domaine, vous devez demander au bureau d'enregistrement de déléguer le domaine à votre serveur de noms. Différents bureaux d'enregistrement s'y réfèrent de différentes manières: "changer les serveurs de noms", "utiliser des DNS tiers", "ajouter des enregistrements de colle", etc. Le mécanisme en dessous reste le même. Vous fournissez généralement 2 ou plusieurs "noms de serveur de noms" (par exemple ns0.example.com et ns1.example.com) et les adresses IP auxquelles ns0 et ns1 sont. Ils traitent ensuite la demande et la délégation est dirigée loin de votre bureau d'enregistrement vers les serveurs de noms que vous avez fournis.

En termes techniques, c'est à ce stade que vous devez vous assurer que vos serveurs de noms sont opérationnels et desservent le domaine example.com, avec minimum d'un SOA (début de notice d'autorité), 1 ou plusieurs NS enregistrements et les A enregistrements (les IP ) que ces enregistrements NS sont résolus à partir de:

example.com.   IN SOA ns0.example.com. hostmaster.example.com. ( 10 3600 900 604800 7200 )
           IN NS  ns0.example.com.
           IN NS  ns1.example.com.
ns0        IN A   192.0.2.8
ns1        IN A   192.0.2.44

(J'ai choisi des valeurs arbitraires somewhare pour les valeurs SOA, les noms des enregistrements NS et les adresses IP auxquelles ces serveurs de noms se résolvent)). pour refléter la zone pour laquelle vous servez.

Ce service DNS doit être visible de n'importe où sur Internet, et ne pas être protégé par un pare-feu (c'est-à-dire que le port 53 udp et tcp entrant doivent être autorisés). Votre fournisseur de services ne doit pas non plus bloquer ce port non plus (ce que certains fournisseurs bloquent le trafic entrant destiné à ces ports).

Compte tenu de ma comparaison d'origine, les serveurs de noms com sont les gestionnaires DNS, qui délèguent la zone example.com aux serveurs de noms (les membres du personnel) pour effectuer le travail de fourniture des informations de base sur la zone (SOA, NS, A). Vous pouvez également servir des enregistrements supplémentaires tels que des enregistrements de serveur de messagerie MX ou peut être un enregistrement A pour votre www.example.com adresse.

Si ce serveur de noms ne fait pas le travail, renvoie des résultats incorrects ou si un tiers (pare-feu/FAI) bloque le travail, vous n'aurez pas de DNS fonctionnel et la délégation sera interrompue.

Il convient également de noter que le domaine ne doit PAS être délégué à des serveurs de noms du même domaine, donc ns0.example.net et ns0.example.org pourrait être un serveur de noms valide qui pourrait avoir example.com leur a été délégué. Pourvu que ces deux serveurs de noms servent le example.com domaine.

25
Drav Sloan

Dans votre domaine, vous pouvez définir des hôtes comme vous le souhaitez, par exemple mymailserver. Pour me connecter à votre serveur de messagerie, je dois utiliser le DNS pour déterminer ses adresses IP et à cette fin, je dois savoir où dans l'arborescence de noms je dois rechercher mymailserver.

Cela semble compliqué, mais c'est exactement pour cela que nous utilisons le "nom de domaine complet" (FQDN). Si vous définissez un hôte mymailserver dans votre domaine abc.com. cet hôte possède le nom de domaine complet mymailserver.abc.com.. Avec ces informations, je peux résoudre ce nom à la bonne adresse IP.

Vous n'êtes pas obligé de créer tous les hôtes du formulaire <hostname>.abc.com., vous pouvez également créer des branches comme vous le souhaitez. Vous pouvez avoir servers.abc.com. et y mettre tous vos serveurs, par exemple mymailserver.servers.abc.com.. Vous pouvez le faire, car le domaine abc.com. était délégué pour vous. Ce qui signifie que vous êtes autorisé à demander tout domaine et nom de domaine se terminant par abc.com.. Par conséquent, vous pouvez définir des hôtes et des sous-domaines de branche au contenu de votre cœur.

La délégation signifie qu'un propriétaire de domaine cède le contrôle total d'une branche à quelqu'un d'autre. Tout comme le propriétaire de com. a délégué le sous-domaine abc.com. pour vous, vous pouvez dériver des sous-domaines, par exemple def.abc.com. et me le déléguer. Dans mon domaine, je peux faire/définir ce que je veux/aimer sans avoir à vous demander ou à vous dire, ni même à com. propriétaires environ.

Comment ça marche? Vous mettez simplement une information dans vos enregistrements DNS qui dit "pour obtenir des informations sur def.abc.com veuillez demander au serveur DNS hisdnsserver.def.abc.com. ". Bien sûr, pour interroger ce serveur, il faut connaître l'adresse IP de hisdnsserver.def.abc.com.. C'est à cela que servent les enregistrements de colle. Vous avez en fait mis 2 éléments d'information, l'un qui vient d'être indiqué et l'autre étant l'adresse IP de hisdnsserver.def.abc.com.. De cette façon, vous posez à quiconque une question sur def.abc.com. avec suffisamment d'informations pour les diriger vers l'autorité de ce sous-domaine.

Pourquoi les programmes vous ont-ils posé des questions sur def.abc.com. en premier lieu? Parce que vous êtes l'autorité pour abc.com. et l'autorité pour com. a donné au demandeur deux informations sur yourdnsserver et abc.com. ...

6
user1129682

La délégation en termes de DNS signifie que le serveur de noms dans la hiérarchie ci-dessus vous répondra chaque demande à votre domaine avec une réponse NS.

Donc en cas de abc.com vous feriez:

$ Dig com.
=>
com.        896 IN  SOA a.gtld-servers.net.  ...

Recherchez ensuite ce serveur de noms spécifiquement pour abc.com:

$ Dig abc.com @a.gtld-servers.net.
=>
;; AUTHORITY SECTION:
abc.com.    172800  IN  NS  sens01.Dig.com.
abc.com.    172800  IN  NS  sens02.Dig.com.
abc.com.    172800  IN  NS  orns01.Dig.com.
abc.com.    172800  IN  NS  orns02.Dig.com.

Les enregistrements de colle signifient qu'en plus des noms d'hôte de vos serveurs de noms, le .com l'autorité connaît également leurs adresses IP.

Si des enregistrements de collage sont configurés, la requête ci-dessus vous donnera aussiA/AAAA réponses pour chacun des serveurs de noms.

5
hroptatyr