Phân quyền DNS là gì?

Trong một câu trả lời cho câu hỏi trước đây của tôi, tôi nhận thấy những dòng này:

Thông thường, giai đoạn cuối cùng của sự phân chia này đã bị phá vỡ với hầu hết các thiết lập của người dùng gia đình. Họ đã trải qua quá trình mua một tên miền với nhà cung cấp dịch vụ đăng ký / dịch vụ, nhưng sau đó đã không thể định cấu hình tên miền để trỏ phái đoàn đến máy chủ tên riêng của họ. Bạn thực sự phải nói với nhà đăng ký nơi đặt máy chủ tên của bạn trước khi họ có thể đặt hồ sơ keo tại chỗ để đưa bước của phái đoàn đi làm.

Phân quyền DNS là gì? Làm thế nào nó hoạt động? Một lời giải thích đầy đủ cho lĩnh vực giả thuyết abc.comsẽ hữu ích.

Về mặt vật lý, ủy quyền rất giống với cách người quản lý sẽ giao trách nhiệm cho các nhiệm vụ cho nhân viên của mình. Kết quả là như nhau, tuy nhiên có nhiều hơn một người đã tham gia vào quá trình này. Người quản lý nhận được yêu cầu làm việc, chuyển giao trách nhiệm cho một thành viên khác của nhân viên và nhân viên hoặc người quản lý trả lại với kết quả công việc. Đây là tất cả trên điều kiện rằng công việc mà nhân viên thực hiện là thực sự chính xác và là những gì người yêu cầu ban đầu yêu cầu (hoặc người yêu cầu thực sự yêu cầu một cái gì đó có giá trị ngay từ đầu!).

Với ủy quyền DNS, nó khá giống nhau. Khi các commáy chủ tên được yêu cầu địa điểm để tìm thẩm quyền của khu vực example.com, họ thường ủy thác công việc này cho các máy chủ tên riêng biệt (thực tế trong phần lớn các trường hợp, trên thực tế, chúng thực sự ủy thác phản hồi cho các máy chủ tên khác). Khi bạn đăng ký tên miền lần đầu tiên, hãy nói example.comtên miền của chúng tôi , việc này thường được thực hiện thông qua bên thứ ba được gọi là công ty đăng ký. Đó là thông lệ của các nhà đăng ký để đặt các máy chủ tên của họ cho phái đoàn và để phục vụ một vùng mặc định từ các máy chủ tên đó. Khu mặc định này bao gồm các yêu cầu cơ bản để phục vụ khu vực đó trên internet (các SOA, NSvà Acác hồ sơ liên quan đến những bản ghi NS).

Rõ ràng nếu bản thân bạn muốn kiểm soát quyền hạn của tên miền, bạn phải yêu cầu nhà đăng ký ủy quyền tên miền cho máy chủ tên của bạn. Các nhà đăng ký khác nhau đề cập đến quy trình này theo các cách khác nhau, 'thay đổi máy chủ tên', 'sử dụng DNS của bên thứ ba', 'Thêm bản ghi keo', v.v. Cơ chế bên dưới vẫn giữ nguyên. Bạn cung cấp, nói chung, 2 hoặc nhiều "tên tên máy chủ" (ví dụ ns0.example.comvà ns1.example.com) và các địa chỉ IP mà tại đó ns0và ns1đang có. Sau đó, họ xử lý yêu cầu và phái đoàn được chỉ ra từ nhà đăng ký của bạn đến máy chủ tên mà bạn cung cấp.

Trong thuật ngữ kỹ thuật, đó là vào thời điểm này, bạn phải đảm bảo máy chủ tên của bạn được thiết lập và hoạt động, phục vụ tên miền example.com, với tối thiểu của một SOA(bắt đầu của kỷ lục thẩm quyền), 1 hoặc nhiều NShồ sơ và Ahồ sơ (IP) mà các bản ghi NS được giải quyết từ:

example.com.   IN SOA ns0.example.com. hostmaster.example.com. ( 10 3600 900 604800 7200 )
           IN NS  ns0.example.com.
           IN NS  ns1.example.com.
ns0        IN A   192.0.2.8
ns1        IN A   192.0.2.44

(Tôi đã chọn một số giá trị tùy ý cho các giá trị SOA, tên của các bản ghi NS và IP mà các máy chủ tên giải quyết). Tất cả sẽ phải phản ánh khu vực mà bạn đang phục vụ.

Dịch vụ DNS này phải được hiển thị từ bất kỳ đâu trên internet và không được tường lửa (đó là cổng 53 udp và tcp gửi đến phải được cho phép). Ngoài ra, nhà cung cấp dịch vụ của bạn cũng không được chặn cổng đó (mà một số nhà cung cấp thực hiện chặn lưu lượng truy cập gửi đến các cổng đó).

Với so sánh ban đầu của tôi, các commáy chủ tên là các nhà quản lý DNS, người được ủy thác vùng example.comđể các máy chủ tên (các nhân viên) để làm công việc cung cấp các thông tin múi cơ bản ( SOA, NS, A). Bạn cũng có thể phục vụ bất kỳ bản ghi bổ sung nào như bản ghi máy chủ thư MXhoặc có thể là Abản ghi cho www.example.comđịa chỉ của bạn .

Nếu máy chủ tên đó không thực hiện công việc, trả về kết quả sai hoặc có bên thứ 3 (tường lửa / ISP) chặn công việc, bạn sẽ không có DNS hoạt động và việc ủy ​​nhiệm bị phá vỡ.

Cũng có thể đáng lưu ý rằng tên miền KHÔNG phải được ủy quyền cho máy chủ tên trong cùng một tên miền, vì vậy ns0.example.netvà ns0.example.orgcả hai có thể là máy chủ tên hợp lệ có thể được example.comủy quyền cho chúng. Cung cấp cả những máy chủ tên phục vụ example.comtên miền.

Ủy quyền về mặt DNS có nghĩa là máy chủ tên trong hệ thống phân cấp ở trên, bạn sẽ trả lời mọi yêu cầu cho miền của bạn bằng một NSphản hồi.

Vì vậy, trong trường hợp abc.combạn làm:

$ dig com.
=>
com.        896 IN  SOA a.gtld-servers.net.  ...

Sau đó truy vấn máy chủ tên cụ thể cho abc.com:

$ dig abc.com @a.gtld-servers.net.
=>
;; AUTHORITY SECTION:
abc.com.    172800  IN  NS  sens01.dig.com.
abc.com.    172800  IN  NS  sens02.dig.com.
abc.com.    172800  IN  NS  orns01.dig.com.
abc.com.    172800  IN  NS  orns02.dig.com.

Hồ sơ keo có nghĩa là ngoài tên máy chủ của máy chủ tên của bạn, .comcơ quan có thẩm quyền cũng biết về địa chỉ IP của họ.

Nếu hồ sơ keo được thiết lập, truy vấn trên cũng sẽ cung cấp cho bạn A/AAAAcâu trả lời cho mỗi máy chủ tên.

Trong miền của bạn, bạn có thể xác định máy chủ như bạn muốn, ví dụ mymailserver. Để kết nối với máy chủ thư của bạn, tôi cần sử dụng DNS để xác định Địa chỉ IP của nó và đến lúc đó tôi cần biết nơi tôi nên tìm trong cây tên mymailserver.

Nghe có vẻ phức tạp nhưng đó chính xác là những gì chúng tôi sử dụng "tên miền đủ điều kiện" (FQDN) cho. Nếu bạn xác định một máy chủ lưu trữ mymailservertrong miền của mình abc.com.thì máy chủ đó có FQDN mymailserver.abc.com.. Với thông tin đó, tôi có thể phân giải tên đó thành địa chỉ IP chính xác.

Bạn không phải tạo tất cả các máy chủ của biểu mẫu <hostname>.abc.com., bạn cũng có thể phân nhánh theo ý muốn. Bạn có thể có servers.abc.com.và đặt tất cả các máy chủ của bạn ở đó, ví dụ mymailserver.servers.abc.com.. Bạn có thể làm như vậy, vì tên miền abc.com.được ủy quyền cho bạn. Điều đó có nghĩa là bạn có quyền yêu cầu bất kỳ tên miền và tên miền nào kết thúc bằng abc.com.. Do đó, bạn có thể xác định máy chủ và tên miền phụ cho nội dung trái tim của bạn.

Ủy quyền có nghĩa là chủ sở hữu tên miền mang lại toàn quyền kiểm soát chi nhánh cho người khác. Giống như chủ sở hữu của com.ủy quyền tên miền phụ abc.com.cho bạn, ví dụ, bạn có thể phân nhánh tên miền phụ def.abc.com.và ủy quyền cho tôi. Trong miền của tôi, tôi có thể làm / xác định bất cứ điều gì tôi muốn / thích mà không cần phải hỏi hoặc nói với bạn hoặc thậm chí các com.chủ sở hữu về.

Làm thế nào nó hoạt động? Bạn chỉ cần đặt một phần thông tin vào các bản ghi DNS có nội dung "để biết thông tin liên quan, def.abc.comvui lòng hỏi máy chủ DNS hisdnsserver.def.abc.com.". Tất nhiên, để truy vấn máy chủ đó, người ta cần biết địa chỉ IP của hisdnsserver.def.abc.com.. Đó là những gì hồ sơ keo là cho. Bạn thực sự đặt 2 mẩu thông tin, một thông tin vừa nêu và phần còn lại là địa chỉ IP của hisdnsserver.def.abc.com.. Bằng cách đó, bạn cung cấp cho bất kỳ ai một câu hỏi về def.abc.com.thông tin đủ để chỉ cho họ quyền hạn cho tên miền phụ đó.

Tại sao các chương trình hỏi bạn về def.abc.com.nơi đầu tiên? Bởi vì bạn là người có thẩm quyền abc.com.và là người có thẩm quyền com.đã cung cấp cho người yêu cầu hai mẩu thông tin về yourdnsservervà abc.com....