Вопросы Теги

Должен авторитетный сервер DNS для домена позволять рекурсии позволять записи CNAME, указывающие на другие домены?

Мне отметили это от некоторое время назад, но я никогда не пробовал его: http://www.microsoft.com/communities/newsgroups/list/en-us/default.aspx?dg=microsoft.public.windows.file_system&tid=4b1a14f7-6bd2-4c9f-ae64-df57c35712bf&cat=&lang=&cr=&sloc=&p=1

4-е сообщение (Edwin) имеет решение, о котором я говорю.

5
задан 10 February 2010 в 08:12
4 ответа

Нет у Вас не должно быть рекурсии на для авторитетных серверов DNS. В зависимости от того, кто Вы просите, чтобы это даже рассмотрело хорошую практику, что (если возможный) Ваш авторитетный сервер не быть рекурсивным, поскольку это - линия обороны против некоторых DoS-атак. (Документ Cisco здесь, например),

Образец от моего домена ниже (Сервер работает, Связывают 9, и нерекурсивно).

; <<>> DiG 9.5.1-P3 <<>> mail.<snip> @<my authoritative master>
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1216
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;mail.<snip>.       IN  A

;; ANSWER SECTION:
mail.<snip>.        86400   IN  CNAME   ghs.google.com.
ghs.google.com.     158151  IN  CNAME   ghs.l.google.com.
ghs.l.google.com.   33    IN  A       74.125.47.121

;; AUTHORITY SECTION:
google.com.     153556  IN  NS  ns4.google.com.
google.com.     153556  IN  NS  ns2.google.com.
google.com.     153556  IN  NS  ns3.google.com.
google.com.     153556  IN  NS  ns1.google.com.

;; ADDITIONAL SECTION:
ns1.google.com.     169823  IN  A   216.239.32.10
ns2.google.com.     169823  IN  A   216.239.34.10
ns3.google.com.     169823  IN  A   216.239.36.10
ns4.google.com.     169823  IN  A   216.239.38.10

Это больше походит на неверную конфигурацию DNS в Windows 2003 DNS, чем что-либо еще.

6
ответ дан 3 December 2019 в 01:08
  • 1
    Подчеркивать мысль... you' ll быть трудно находить любого, кто знает что-либо о DNS, кто предложит рекурсию на авторитетных серверах, является хорошей идеей. Большинство противных связанных с DNS ошибок требует, чтобы рекурсия была включена и каждый раз, когда возможно, необходимо разделить те роли. –  icky3000 10 February 2010 в 09:26

Авторитетные серверы не должны быть настроены для предложения рекурсивной услуги. Даже не работать вокруг потенциальной ошибки Microsoft.

Я не могу заключить в кавычки главу и стих в данный момент (если я найду его, то я обновлю). Однако это - очень принятая "лучшая общая практика" для эксплуатации серверов DNS.

Если некоторый сопоставитель в Вашей цепочке поиска возвращается SERVFAIL затем это просто указывает на неверную конфигурацию где-нибудь или что Вы задаете неправильный вопрос (или правильный вопрос с неправильными флагами).

В Вашем случае, dreamhost.com возврат серверов SERVFAIL если Вы просите рекурсивный ответ (который, оказывается, что nslookup делает по умолчанию). Они отлично наделены правом сделать это, они - авторитетные серверы, не рекурсивные.

В моей системе, если я использую dig вместо этого и конкретно отключите рекурсию, которую я получаю:

% dig +norecurse @ns1.dreamhost.com mail.scotchi.net.

; <<>> DiG 9.6.0-APPLE-P2 <<>> +norec @ns1.dreamhost.com mail.scotchi.net.
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54426
;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 13, ADDITIONAL: 13

;; QUESTION SECTION:
;mail.scotchi.net.  IN A

;; ANSWER SECTION:
mail.scotchi.net. 14400 IN CNAME ghs.google.com.
3
ответ дан 3 December 2019 в 01:08
  • 1
    Только быть ясным здесь, таким образом, nslookup mail.scotchi.net ns1.dreamhost.com не должен возвращаться SERVFAIL, это корректно? –  scotchi 10 February 2010 в 12:03
  • 2
    , который это делает, если Вы задаете вопрос неправильный путь - видит редактирования к моему ответу –  Alnitak 10 February 2010 в 12:37

Dreamhost использует powerdns (тьфу), столь же плохо.. но Windows рекурсивные сопоставители действительно сосет.

Вопрос, почему является Windows полями DNS на Ваших клиентских сайтах, получающих SERVFAIL? Они не должны быть.

И, вышеупомянутый плакат корректен - если Вы являетесь авторитетными к домену, у Вас может быть он cname, A, сбой, Вы называете его к любому домену/IP (Вы не должны знать связующее звено к другому домену).

Возможно, вот именно - что сопоставители DNS, которые попросили Вашего у записи (и получил cname) застрявшие взгляды он будет также знать связующее звено для heroku.com.

Вы могли проанализировать перечисленные серверы имен для исходного запроса для наблюдения то, что происходит, но в 'худшем случае' сценарий Вы могли просто раздать записи.. это просто был бы ЛАВАШ.

Если Вы хотите отправить реальный домен сбоя, это прохладно; Вы могли также PM или AIM nerdNG :p (я люблю находить первопричину probs с DNS. Пойдите фига),

2
ответ дан 3 December 2019 в 01:08
  • 1
    Вот то, что я получаю поиск моего собственного почтового домена (не реальный пример, но также и на Dreamhost): nslookup mail.scotchi.net ns1.dreamhost.com Я получаю a SERVFAIL, однако, если я просто делаю рыть / nslookup / безотносительно, не указывая сервер имен, все элегантно. –  scotchi 10 February 2010 в 10:02

Я искал "подобные" вопросы своему собственному, тут и там, кажется, довольно много подобных точек (например, серверы Windows2003 DNS и ответ SERVFAIL)

Если у кого-либо есть какая-либо ссылка на "потенциальную ошибку Microsoft" выше, был бы они возражать отправлять детали.

Очень ценивший.

0
ответ дан 3 December 2019 в 01:08

Теги

Похожие вопросы