Как проверить DNS клеевую запись?

24

Здравствуйте! Я только что настроил DNS-сервер для своего домена example.org с двумя серверами имен ns1.example.org и ns2.example.org. Я попытался установить клейкую запись для ns1 и ns2 у моего регистратора.

Кажется, сейчас работает, когда я копаю example.org, но когда я делаю whois example.org, он перечисляет ns1.example.org и ns2.example.org, но не их IP-адрес, который должен быть настроен как клейкая запись. ,

Поэтому мне интересно, как я могу проверить наличие клейкой записи? Я делаю это с Whois? Я видел записи .com и .net whois, которые содержат как доменное имя, так и IP-адрес для серверов имен. Отличается ли .org? Как правильно проверить это?

Спасибо.

44

Клеевые записи существуют только в родительской зоне доменного имени.

Следовательно, в случае вашего example.orgдоменного имени, сначала найдите .orgсерверы имен:

% dig +short org. NS
a0.org.afilias-nst.info.
a2.org.afilias-nst.info.
b0.org.afilias-nst.org.
b2.org.afilias-nst.org.
c0.org.afilias-nst.info.
d0.org.afilias-nst.org.

Затем, для того, чтобы тестировать столько, сколько вам хочется, явно попросите у серверов имен NSзаписи для вашего домена:

% dig +norec @a0.org.afilias-nst.info. example.org. NS

Вы должны получить правильный список NSзаписей в разделе «ОТВЕТ». Для любых серверов имен, которые правильно настроили склеивание, вы должны увидеть, что эти записи склеивания A(и / или AAAA) отображаются в «ДОПОЛНИТЕЛЬНОМ РАЗДЕЛЕ».

— Альнитак
источник

Для моего домена дополнительный раздел содержит клейкую запись, а также несколько других записей NS, которые не являются частью клея, который я установил в реестре. Как мне отличить их?

— Calimo

7

Чтобы проверить, установлена ли запись GLUE:

dig +trace @a.root-servers.net ns0.nameserverhere.com

Если GLUE настроен, вы должны увидеть запись, которая заканчивается:

“Recevied XXX bytes from x.GTLD-SERVERS.NET.”

Есть также сайты, которые сделают это для вас, такие как http://www.intodns.com/

— Coops
источник

Спасибо, indns работал отлично, получая все зеленые галочки на клей и NS материал. Я не получаю команду копать все же. Я получил полученное сообщение. В частности, я получил это: «Получил 433 байта от 192.33.4.12 # 53 (c.root-servers.net) за 183 мс». Но затем он заканчивается: «истекло время соединения; серверы не могут быть достигнуты» Я также получаю похожие сообщения, когда используется случайное число для части ns, например, ns384289.example.org.

9

что копать диагностический тест совершенно неправильно ...

— Альнитак

Я знаю, что это старый, но очень полезный. Я отправил результаты в sed / awk, чтобы сравнить корень с сервером имен для выявления несовпадающих записей NS.

— Jeffatrackaid

4

Вот небольшой сценарий оболочки, который реализует ответ Альнитака:

#!/bin/sh
S=${IFS}
IFS=.
for P in $1; do
  TLD=${P}
done
IFS=${S}

echo "TLD: ${TLD}"
DNSLIST=$(dig +short ${TLD}. NS)
for DNS in ${DNSLIST}; do
  echo "Checking ${DNS}"
  dig +norec +nocomments +noquestion +nostats +nocmd @${DNS} $1 NS
done

Передайте имя домена в качестве параметра:

./checkgluerecords.sh example.org

— Адриан В
источник

3

dig +traceКак правило, это самый простой способ проверить цепочку делегаций. Однако склеенные записи находятся в дополнительном разделе, и по умолчанию вывод трассировки не включает дополнительный раздел. Вам нужно будет явно указать, что вы хотите, чтобы это было включено в вывод.

dig +trace +additional example.com

Если идея состоит в том, чтобы проверить работоспособность цепочки делегирования, вы, вероятно, захотите увидеть и авторитетные NSзаписи, в этом случае:

dig +trace +additional example.com NS

— Хокан Линдквист
источник

0

Вы также можете использовать whois, где это поддерживает реестр, для непосредственной проверки наличия клея для данного сервера имен. Например, чтобы проверить один из серверов имен на serverfault.com:

whois ns-860.awsdns-43.net.

Для более краткого ответа:

whois ns-860.awsdns-43.net. | grep "No match\|IP" | xargs

Примечание. Это, безусловно, будет работать для серверов имен в пространстве имен .net и .com, но, вероятно, не для большинства других реестров.

— user3166580
источник

1

Whois действительно не правильный инструмент для запроса на наличие клея. digболее уместно.

— sendmoreinfo

Я не согласен: вы можете напрямую проверить наличие клея с помощью whois (то есть, не нуждаясь в домене, который был делегирован этому серверу имен), но теперь, когда я проверил, это не относится к домену .org. Мой ответ правильный для .net / .com, но это не тот вопрос, который был в оригинальном вопросе, поэтому я полагаю, что это не очень хороший ответ на этот вопрос.

— user3166580

Я также думаю, что ключевой момент в исходном сообщении заключается в том, что, если бы клей не существовал в родительской зоне org, вы бы не смогли делегировать домен серверам имен. то есть, потому что у вас не может быть бесклеевых серверов имен в bailiwick.

— user3166580

Ваш ответ правильный ни для одного TLD. whoisне имеет ничего общего с рабочим DNS и не является инструментом, который используется, чтобы видеть клеи. Вы можете использовать whois для поиска серверов имен, существующих в реестрах, но тот факт, что сервер имен хранится здесь, не означает, что он используется доменом, в котором он используется, что является единственным случаем, когда его необходимо опубликовать как клей.

— Патрик Мевзек