DNS子域(子) NS记录
如果我们有example.com,我们将设置如下内容:
$ORIGIN example.com.
@ 1D IN SOA ns1.example.com. hostmaster.example.com. (
2002022401 ; serial
3H ; refresh
15 ; retry
1w ; expire
3h ; nxdomain ttl
)
IN NS ns1.example.com.
IN NS ns2.example.com.因为在父区域.com。example.com已经有NS记录了。子区域和ns1.example.com的胶水记录。为了什么目的,我们在子区域再次声明NS记录?
此外,我们是否需要为子区域本身中的名称服务器声明一个记录?
回答 2
Server Fault用户
发布于 2016-12-18 12:36:54
的工作方式,
权威的NS记录驻留在区域本身中(在查询权威服务器时在ANSWER部分中提供),就像所有属于该区域的其他记录一样。
为了能够遍历树,还将引用/委托/授权信息(NS和任何必要的胶水A/AAAA记录)添加到父区域。
然而,这些信息并不被视为“真正的答案”,答案缺乏AA (权威答案)标志,NS记录位于AUTHORITY部分,以表明这只是关于谁有实际答案的信息。
其中的一个含义是,如果您直接查找NS记录,您将跟踪该引用并查询权威服务器,尽管您刚刚看到了应该是相同信息的内容。
为什么定义为这样工作?
大概是因为所有权威记录都驻留在它们所属的区域中,这被认为是正确的/干净的/合乎逻辑的,而且NS也应该有权威的记录。
,这是否有不同的定义?
是。例如,看看DS记录是如何在稍后引入时定义的。在这种情况下,子区域中没有这样的记录,而是权威的父记录。
,我能换个方法吗?
不是的。因为它是按照它的方式定义的,而且所有的软件都是基于定义的方式工作的,所以如果你不正确地去做,事情就会破裂(通常是微妙的)。
tl;
博士
您需要在区域中和父区域中作为委托信息使用相同的NS记录。同样,任何胶水A/AAAA记录也需要作为真正的权威记录而实际存在。
Server Fault用户
发布于 2016-12-18 13:33:04
尽管我不愿与我尊敬的同事意见不同,但区域内的NS记录确实起到了一些作用。例如,1进制NS需要知道其他所有的NSes是谁,这样在区域更新的情况下,它可以向他们发送所有的DNS NOTIFY,这样他们就知道要执行区域传输了。这个信息来自于那些区域内的NS记录。
对于没有区域对应的DS记录,DS是区域内KSK DNSKEY记录的简单摘要。该记录,就像NS记录一样,如果没有相当长的KSK记录,以及对具有数千万个子条目的域(如.com )保持相同数量的任意长度的记录,就会被镜像为输入和输出区域。因此,在父区域中只保留摘要的决定--但它们仍然是相同的记录--并且进出区域副本必须匹配,就像与NS记录一样。
tl;
博士
H kan是对的;你需要那些区域内的记录,它们真的应该与区域外(胶水)副本相匹配。一般来说,除非你确实知道自己在做什么,否则不要违反RFCs。
https://serverfault.com/questions/821410
复制相似问题
腾讯云开发者
