bind9: zonendelegation wie ist das gemeint??

[schwiz19]

Hallo

Wie der Titel sagt habe ich im Artikel bei Wikipedia unter NS-RR gelesen was eine Zonendelegation ist. Leider bin ich nach mehr als 1 Stunde durchlesen und studieren nicht auf den Punkt gekommen, weshalb ein Glue Record benötigt wird und wie diese Delegation geht.

Hier einen Ausschnitt aus dem Artikel:

Zonendelegation[Bearbeiten]

Über NS-RRs können Verweise zu Subdomänen definiert werden. Die entsprechende Subdomäne wird gewissermaßen aus der Zonendatei ausgelagert. Ein derartiger NS-RR dient damit als Zeiger, der auf einen anderen Nameserver verweist (oder auf eine andere Zonendatei des gleichen Servers). Man spricht in diesem Zusammenhang auch von Delegation. Resolver-Anfragen werden zu einem anderen Nameserver delegiert. Die entsprechenden NS-RRs sind gewöhnlich über die Zonendatei verstreut eingetragen.

Beispiel

In der Zonendatei example.com existieren die folgenden Zeilen:

zone.example.com.   1800  IN  NS  names1.example.com.
zone.example.com.   1800  IN  NS  names1.zone.example.com.

Damit wird nun die Zone zone.example.com innerhalb von example.com an die beiden Nameserver delegiert, die damit autoritativ zuständig sind. Zu beachten ist noch, dass names1.zone.example.com innerhalb der Zone liegt, für die er verantwortlich ist. Eine Auflösung dieses Namens zur IP-Adresse ist nun nicht möglich, da nur der Server selbst die Auflösung machen kann. Aus diesem Grund werden so genannte Glue Records eingefügt, das sind A bzw. AAAA Resource Records, die ebendiese Zuordnung ermöglichen. In unserem Beispiel wäre also noch ein

names1.zone.example.com.  1800 IN A    192.168.7.200
names1.zone.example.com.  1800 IN AAAA 2001:db8::192:200

in der übergeordneten Zone (also example.com und nicht zone.example.com) notwendig.
Quelle: Wikipedia.org

Jetzt zur Frage:

Weshalb ist Auflösung so nicht möglich? Wieso ein Glue Record?
Muss ein Name-Server und eine Subdomain immer auf gleichener Ebene befinden? also test.example.ch in NS ns.example.ch

wenn ich z.B Subdomain: www.sever1.example.ch habe und NS: ns.example.ch geht doch auch problemlos aufzulösen. Auch wenns nicht in gleicher Ebene befindet.


Liebe Grüsse
Nico

 

[jahlives]

der Glue wird benötigt wenn der zuständige NS in derselben Zone liegt wie der Record den du haben willst. Das liegt daran, dass nur der NS diesen Record auflösen kann. Wenn dieser aber in derselben Zone liegt wie willst du den dann auflösen können? An die IP des NS kommst du nur wenn du den zuständigen NS abfragen kannst. Das geht rein logisch nicht ;-)
Drum Gluerecords in der übergeordneten Zone oder der NS Record zeigt nicht in dieselbe Zone...

 

[schwiz19]

der Glue wird benötigt wenn der zuständige NS in derselben Zone liegt wie der Record den du haben willst. Das liegt daran, dass nur der NS diesen Record auflösen kann. Wenn dieser aber in derselben Zone liegt wie willst du den dann auflösen können? An die IP des NS kommst du nur wenn du den zuständigen NS abfragen kannst. Das geht rein logisch nicht ;-)
Drum Gluerecords in der übergeordneten Zone oder der NS Record zeigt nicht in dieselbe Zone...

Was heisst in der gleichen Zone? Eine Zone ist doch z.B Admin.ch oder google.ch. Also das wo ich bei nic.ch regisiterte. Danach kann ich eine subdomain machen z.B www.domain.ch das nennt sich dann Domain.

In normal Fall siehts doch so aus:

Meine Zone "nicolas.ch" meine Domain "www.nicolas.ch" und meinen primary Nameserver nennne ich jetzt mal ns01.nicolas.ch. Da wird doch auch kein Gluerecord benötigt obwohl es in der gleichen Zone liegt? Wie muss man das verstehen?

Brauch ich also nur einen Glue Record wenn jetzt z.B server1.nicolas.ch und der NS immer noch ns01.nicolas.ch heisst? Ich verstehe im Moment nicht viel von der Sache ich bitte um aufklärung.


zone.example.com. 1800 IN NS names1.example.com. Normale Record
zone.example.com. 1800 IN NS names1.zone.example.com. Selten gesehen Record Der RR kann also nicht ohne Glue Record aufgelöst werden? Weil der Nameserver in einer weiteren Zone ist?

Wie erstellt man überhaupt so eine subsubdomain wie z.B name1.zone.example.com?

name1.zone IN A 92.32.33.22

 

[jahlives]

einen Gluerecord brauchst du in deinem Fall wenn für www.nicolas.ch ein anderer Nameserver zuständig ist, der sich aber in der selben "Eltern"zone nicolas.ch befindet
In deinem Fall wird www durch den Nameserver der Elternzone abgedeckt. Allerdings hast du trotzdem einen Gluerecord und zwar bei der Switch. Denn die .ch Zone muss dem Client mitteilen können welches die zuständigen NS für nicolas.ch sind. Darum hinterlegt man bei der Switch die IP Adressen der zuständigen NS pro Zone. Wenn die Switch nur den Namen deines NS z.B. ns1.nicolas.ch als Antwort geben würde: Wie könnte dann der Client zu den IPs dieses Namens kommen? Die würde in dem Fall ja nur ns1.nicolas.ch bekannt sein. An die IP käme der Client nur wenn er ns1 abfragen kann doch dazu braucht er eine IP, welche er nicht haben kann solang er die Zone nicht abfragen kann.

 

[schwiz19]

einen Gluerecord brauchst du in deinem Fall wenn für www.nicolas.ch ein anderer Nameserver zuständig ist, der sich aber in der selben "Eltern"zone nicolas.ch befindet
In deinem Fall wird www durch den Nameserver der Elternzone abgedeckt. Allerdings hast du trotzdem einen Gluerecord und zwar bei der Switch. Denn die .ch Zone muss dem Client mitteilen können welches die zuständigen NS für nicolas.ch sind. Darum hinterlegt man bei der Switch die IP Adressen der zuständigen NS pro Zone. Wenn die Switch nur den Namen deines NS z.B. ns1.nicolas.ch als Antwort geben würde: Wie könnte dann der Client zu den IPs dieses Namens kommen? Die würde in dem Fall ja nur ns1.nicolas.ch bekannt sein. An die IP käme der Client nur wenn er ns1 abfragen kann doch dazu braucht er eine IP, welche er nicht haben kann solang er die Zone nicht abfragen kann.

ohne nachzufragen verstehe ich erstmals gar nichts.

einen Gluerecord brauchst du in deinem Fall wenn für www.nicolas.ch ein anderer Nameserver zuständig ist, der sich aber in der selben "Eltern"zone nicolas.ch befindet

Die "Elternzone" ist also immer der Name vor dem Subdomain ist? z. B www.abc.nicolas.ch = abc = Elternzone

Allerdings hast du trotzdem einen Gluerecord und zwar bei der Switch. Denn die .ch Zone muss dem Client mitteilen können welches die zuständigen NS für nicolas.ch sind. Darum hinterlegt man bei der Switch die IP Adressen der zuständigen NS pro Zone.

Ok.

Wenn der Hauptname-Server "ns01.nicolas.ch" -> dieser kennt doch die Nameserver für meine weiteren Zonen? Der Hauptname-Server kennt doch seine weiteren Subdomains? z. B ns01.freund.nicolas.ch

1 Zonefile für die ganze Domain - Name-Server für ns01.nicolas.ch:

ns01.nicolas.ch. NS IN 89.56.57.59 (IP vom Hauptname-Server (ns01.nicolas.ch))
ns01.freund.nicolas.ch. NS IN 89.56.56.56 (IP vom NS von meinem freund (ns01.freund.nicolas.ch))
WWW@ A IN 82.26.23.100
freund@ A IN 82.26.23.100
www.freund@ IN A 82.26.23.100

Hier steht doch jetzt im Zonefile für die Subdomain freund.nicolas.ch ist der NS von ns01.freund.nicolas.ch. zuständig.
Für die Domainnicolas.ch der primäre NS von ns01.nicolas.ch
Da kann ja Switch daraus lesen wer für diese Zone verantwortlich ist und fragt diesen NS?

Wenn die Switch nur den Namen deines NS z.B. ns1.nicolas.ch als Antwort geben würde: Wie könnte dann der Client zu den IPs dieses Namens kommen? Die würde in dem Fall ja nur ns1.nicolas.ch bekannt sein. An die IP käme der Client nur wenn er ns1 abfragen kann doch dazu braucht er eine IP, welche er nicht haben kann solang er die Zone nicht abfragen kann.

Also willst du mir damit sagen das er erst Nicolas.ch auflösen muss bevor er ns01.nicolas.ch auflöst? Darum kann er nicht sofort den Subdomain auflösen? Das hört sich logisch an.

 

[schwiz19]

Ich würde mich freuen wenn mir jemand weiterhelfen würde, ich warte schon etwas länger aus Antwort.

Vielen Dank.

 

[jahlives]

Dein obiges Zonenfile ist falsch. NS Records zeigen auf Namen nicht auf IPs nur A bzw AAAA Records zeigen auf IPs
Zudem kommt die class (IN) vor dem ressource record (NS oder A oder CNAME etc ppt)

NS dürfen nur folgendes enthalten:

• A Fully Qualified Domain Name (FQDN) e.g. example.com. (ends with a dot)
• An unqualfied name (does not end with a dot)
• An '@' (substitutes the current value of $ORIGIN)
• a 'space' or 'blank' (tab) - this is replaced with the previous value of the name field. If no name has been previously defined this may result in the value of $ORIGIN.

Dein Zonenfile sollte imho etwa so ausschauen

....
[COLOR=#333333]@ IN NS ns01.nicolas.ch.
[/COLOR][COLOR=#333333]@ IN NS ns01.freund.nicolas.ch.
[/COLOR][COLOR=#333333]ns01 IN A [/COLOR][COLOR=#333333]89.56.57.59[/COLOR][COLOR=#333333]
[/COLOR][COLOR=#333333]ns01.freund IN A [/COLOR][COLOR=#333333]89.56.56.56
[/COLOR][COLOR=#333333]...
[/COLOR]

die beiden obigen A Records sind jetzt die Gluercords für die NS Records. Damit kann ein Client bei der Anfrage nach den zuständigen NS auch gleich die IPs geliefert bekommen.

Wenn du jetzt eine Kindzone an einen anderen NS delegieren willst kommt es dann darauf an wo der NS liegt. Wenn er unterhalb deiner Zone liegt braucht es wieder einen Glue. Der Client muss ja einen "Einsprungpunkt" für die Zone freund.nicolas.ch kennen

....
[COLOR=#333333]@ IN NS ns01.nicolas.ch.
[/COLOR][COLOR=#333333]freund IN NS ns01.freund.nicolas.ch.
[/COLOR][COLOR=#333333]ns01 IN A [/COLOR][COLOR=#333333]89.56.57.59[/COLOR][COLOR=#333333]
[/COLOR][COLOR=#333333]ns01.freund IN A [/COLOR][COLOR=#333333]89.56.56.56
[/COLOR][COLOR=#333333]...
[/COLOR]

Wenn er unterhalb einer anderen Zone liegt, dann reicht der NS ohne Glue

....
[COLOR=#333333]@ IN NS dns2.totalanderezone.ch.
[/COLOR][COLOR=#333333]freund IN NS dns.totalanderezone.ch.[/COLOR][COLOR=#333333]
[/COLOR][COLOR=#333333]...
[/COLOR]

 

[jahlives]

Ich würde mich freuen wenn mir jemand weiterhelfen würde, ich warte schon etwas länger aus Antwort.

Vielen Dank.

da du hier auch mal "gestresst" hast, tue ich das jetzt auch Kommt da noch was? Sonst mach in den Thread zu