Subdelegace domeny

Subdelegace domeny
« kdy: 13. 11. 2020, 16:41:05 »
Ahoj,

chtel bych si ujasnit jednu vec v subdelegaci domeny. Normalne to nepouzivam...

server ns1.example.com, zona example.com:
Kód: [Vybrat]
@ in ns ns1.example.com
@ in ns ns2.example.com
sub.example.com in ns nsa.sub.example.com
sub.example.com in ns nsb.sub.example.com
ns1.example.com in A x.x.x.x
ns2.example.com in A y.y.y.y

server nsa.sub.example.com, zona sub.example.com:
Kód: [Vybrat]
@ in ns nsa.sub.example.com
@ in ns nsb.sub.example.com
nsa.sub.example.com in A a.a.a.a
nsb.sub.example.com in A b.b.b.b

Toto je asi standardni zpusob subdelegace. A tedka, pokud je server ns1 ci ns2 je taky autoritativni pro zonu sub.example.com, je ok, ze by to vypadalo takto:

server ns1.example.com, zona example.com:
Kód: [Vybrat]
@ in ns ns1.example.com
@ in ns ns2.example.com
sub.example.com in ns ns1.example.com
sub.example.com in ns ns2.example.com
sub.example.com in ns nsa.sub.example.com
sub.example.com in ns nsb.sub.example.com
ns1.example.com in A x.x.x.x
ns2.example.com in A y.y.y.y

server ns1.example.com, zona sub.example.com:
Kód: [Vybrat]
@ in ns nsa.sub.example.com
@ in ns nsb.sub.example.com
@ in ns ns1.example.com
@ in ns ns2.example.com
nsa.sub.example.com in A a.a.a.a
nsb.sub.example.com in A b.b.b.b

Pripadne chybejici glue zaznamy ignorujte. Jde mi o to, ze od pohledu to vypada jako mozna smycka, je takova konfigurace mozna, spravna atd.? Cili subdomena "deleguje" na nadrazenou domenu? Nebo je lepsi reseni teto situace, kdy server spravuje obe zony, ale jsou pridany jeste dodatecne interni servery, na ktere rekurzory primo smeruji interni fqdn/reverzy? Jde o to, ze ty interni servery nejsou pak blokovany/zpomalovany pruchodem pres firewall, jako kdyby vsechny dns servery byly v "dmz".

Diky


Re:Subdelegace domeny
« Odpověď #1 kdy: 13. 11. 2020, 17:29:12 »
Jde mi o to, ze od pohledu to vypada jako mozna smycka, je takova konfigurace mozna, spravna atd.?
Ano, taková konfigurace je zcela normální.
Cili subdomena "deleguje" na nadrazenou domenu?
Subdoména je delegována na konkrétní servery, ne „na doménu.” Lze použít jakékoli jméno v celém DNS prostoru, včetně jména v nadřazené doméně. Jen v případě, kdy je deledováno na jméno uvnitř delegované zóny, je potřeba ještě navíc přidat glue záznamy.

Nebo je lepsi reseni teto situace, kdy server spravuje obe zony, ale jsou pridany jeste dodatecne interni servery, na ktere rekurzory primo smeruji interni fqdn/reverzy? Jde o to, ze ty interni servery nejsou pak blokovany/zpomalovany pruchodem pres firewall, jako kdyby vsechny dns servery byly v "dmz".
Tuhle část jsem nepochopil. V každém případě situace, kdy server hostuje několik zón, které jsou ve vzájemném vztahu, je naprosto běžná a podporovaná. Server při zpracování dotazu vybere data z té zóny, která má největší shodu s pravou částí dotazovaného jména.

Re:Subdelegace domeny
« Odpověď #2 kdy: 16. 11. 2020, 09:26:11 »
Diky.

Ohledne glue zaznamu. Pokud ten server spravuje example.com a sub.example.com, tak tedy v zone example.com staci pro domenu sub.example.com pouze NS zaznamy na jmeno tech ns.sub (cili: sub in NS nsa.sub.example.om atd.) a glue netreba, jestli to tedy dobre chapu? Kdyz tam dam do tech NS rovnou IP, tak je to jednoznacne.

Re:Subdelegace domeny
« Odpověď #3 kdy: 16. 11. 2020, 09:53:07 »
Ohledne glue zaznamu. Pokud ten server spravuje example.com a sub.example.com, tak tedy v zone example.com staci pro domenu sub.example.com pouze NS zaznamy na jmeno tech ns.sub (cili: sub in NS nsa.sub.example.om atd.) a glue netreba, jestli to tedy dobre chapu?
Pokud jsou dvě zóny hostované na stejném serveru, měly by jejich NS záznamy obsahovat stejnou hodnotu. Tedy například server ns.example.com hostuje zóny example.com a sub.example.com. První jmenovaná bude vypadat takto:

Kód: [Vybrat]
@ IN SOA …
@ IN NS ns.example.com.

ns IN AAAA 2001:db8::53

sub IN NS ns.example.com.

Druhá velice podobně:

Kód: [Vybrat]
@ IN SOA …
@ IN NS ns.example.com.

Není žádný důvod, aby jeden server měl různá jména v různých subdoménách.

Kdyz tam dam do tech NS rovnou IP, tak je to jednoznacne.
Do NS záznamů není možné vložit přímo IP adresy, vždy tam musí být doménová jména.

Re:Subdelegace domeny
« Odpověď #4 kdy: 16. 11. 2020, 11:24:26 »
To, ze NS nemuze mit IP, jsem asi nekde minul. A administrace me v tom neblokuje prekvapive.

U tech zon doslo k nepozorumeni dotazu.

zone example.com:
Kód: [Vybrat]
sub in NS nsa.sub.example.com

zone sub.example.com:
Kód: [Vybrat]
@ in ns nsa
nsa in A a.a.a.a

Pokud jsou obe zony na tom samem serveru, potrebuji v zone example.com zaznam nize?

zone example.com:
Kód: [Vybrat]
nsa.sub in A a.a.a.a

Byt navic tam muze. Ale jde o to, zda by tam mel byt uveden.