关于域名解析的授权

2017-03-27

31655

扫盲系列之八《关于域名解析的授权》首先是两个相关的概念：域名授权：指定谁是该域名的权威DNS ，即由谁负责解析该域名（由NS 记录操作完成）。权威DNS: 特指对特定域名具有权威发布能力的DNS

扫盲系列之八《关于域名解析的授权》

首先是两个相关的概念：

域名授权：指定谁是该域名的权威DNS ，即由谁负责解析该域名（由NS 记录操作完成）。权威DNS: 特指对特定域名具有权威发布能力的DNS ；互联网上域名（域名记录）解析结

果的原出处。

目前域名解析授权状况：

目前在互联网上域名解析授权大体上是谁出售域名就把域名的权威DNS 授权给谁并由其提供域名的权威DNS 来完成域名解析工作，如购买了新网域名默认就是由新网的权威DNS （nsx.xinnetdns.com 、nsx.xinnet.cn ）负责所售域名解析:

[root@test root]#dig @a.gtld-servers.net xinnet.com ns

;; ANSWER SECTION:

xinnet.com. 172800 IN NS ns.xinnet.cn.

xinnet.com. 172800 IN NS ns.xinnetdns.com. xinnet.com. 172800 IN NS ns2.xinnet.cn.

xinnet.com. 172800 IN NS ns2.xinnetdns.com.

域名解析授权是怎么实现的：

域名解析授权是个树状的，从上而下的分层体系，简图如下：

首先“. ”DNS 把COM/NET/CN/ORG/TV等等域名按后缀的不同分别授权给不同的DNS ，以利于分别管理。如COM/NET域名被授权给了如下几个权威DNS 。这里不难想像要修改COM/NET的授权DNS 要到“. ”DNS 上去操作才能完成。

[root@test root]#dig com. ns

作者：LLZQQ 主页：HTTP://AIDNS.CN

;; ANSWER SECTION:

com. 96045 IN NS d.gtld-servers.net. com. 96045 IN NS g.gtld-servers.net. com. 96045 IN NS b.gtld-servers.net. com. 96045 IN NS k.gtld-servers.net. com. 96045 IN NS f.gtld-servers.net. com. 96045 IN NS l.gtld-servers.net. com. 96045 IN NS j.gtld-servers.net. com. 96045 IN NS a.gtld-servers.net. com. 96045 IN NS i.gtld-servers.net. com. 96045 IN NS m.gtld-servers.net. com. 96045 IN NS e.gtld-servers.net. com. 96045 IN NS h.gtld-servers.net. com. 96045 IN NS c.gtld-servers.net.

同理可知，要指定或修改ABC.COM 的权威DNS 要去顶级DNS 上操作。通常来说一般的域名所有者是无权登录顶级DNS 进行操作的。只能通过域名提供商（如新网，万网等）的专用接口（位于域名商的域名管理平台上）来间接操作顶级DNS 上的记录。

以ABC.COM 为例简要说明怎么指定自己的权威DNS ，假设ABC.COM 是在新网购买，那么默认该域名的权威DNS 就是nsx.xinnetdns.com 、nsx.xinnet.cn 。这时候要修改默认权威DNS 。首先登录新网的域名管理后台，找到修改域名DNS 页面即可完成操作（详细过程这里有：http://docs.aidns.cn/help02.htm）。操作完成后要验证一下是否修改成功：

[root@test root]#dig @a.gtld-servers.net abc.com ns

;; ANSWER SECTION:

abc.com. 172800 IN NS ns1.ai-dns.com.

abc.com. 172800 IN NS ns2.ai-dns.com.

abc.com. 172800 IN NS ns3.ai-dns.com.

这里我们把ABC.COM 授权给了nsx.ai-dns.com 了。

关于域名权威DNS 的再授权：

以ABC.COM 为例，再授权是指在nsx.ai-dns.com 上面再次指定该域名的权威DNS ，再授权的意义有这么几个：

1. 扩展现有的权威DNS 数量，如现有ns1,ns2,ns3.ai-dns.com 共三台DNS ，现在要

增加到4台，则可以在原3台DNS 上abc.com 的ZONE 文件内增加ns4这个NS 记录。原来的ZONE 内容：

$TTL 2d

$ORIGIN abc.com.

@ 3600 IN SOA ns1.ai-dns.com. root.ai-dns.com.(

2288091841 1h 600 1w 900 )

@ 2d IN NS ns1.ai-dns.com.

作者：LLZQQ 主页：HTTP://AIDNS.CN

2d IN NS ns2.ai-dns.com. 2d IN NS ns3.ai-dns.com.

增加ns4这个NS 记录后为：

$TTL 2d

$ORIGIN abc.com.

@ 3600 IN SOA ns1.ai-dns.com. root.ai-dns.com.(

2288091841 1h 600 1w 900 )

@ 2d IN NS ns1.ai-dns.com.

@ 2d IN NS ns2.ai-dns.com.

@ 2d IN NS ns3.ai-dns.com.

@ 2d IN NS ns4.ai-dns.com.

当然增加NS4的操作也可以在顶级DNS 上完成，不再赘述。

2. 把权威DNS 重新授权给其他DNS ，如把原来的权威DNS （nsx.ai-dns.com ）重新授

权给别人（nsx.ddd.com ）。操作过程同上，不再赘述。

再授权可能存在的潜在问题：

再授权无疑使得域名解析授权变得更灵活，但是存在以下潜在的隐患。当原授权的权威DNS （即在顶级DNS 定义的权威DNS ）故障时，这时再授权的DNS 将无法工作，导致域名无法解析（这是由域名解析过程是自上而下的这个特性决定的）。同时也增加了安全隐患。

附加部分1：慎用WHOIS 来查看域名权威DNS 。

对于域名的Whois 数据库是由域名销售商控制的，即每个域名销售商都有自己的WHOIS 服务器，这些服务器用来存储自身出售的域名信息，如域名所有人，联系方法，到期时间等内容。WHOIS 信息中显示的域名当前权威DNS 信息很可能没有及时与域名实际的权威DNS 信息同步而导致错误的判断。

附加部分2：“. ”根DNS 是怎么被授权的？

由于“. ”根DNS 所处域名解析体系的顶端，无法按照常规方法对其授权。到目前为止其授权方法是把所有“. ”DNS 列表存放在一个文本文件内（自己授权给自己），名字通常为root.hint 内容如下（部分节选）：

. 3600000 IN NS A.ROOT-SERVERS.NET.

A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4

. 3600000 NS B.ROOT-SERVERS.NET.

B.ROOT-SERVERS.NET. 3600000 A 192.228.79.201

作者：LLZQQ 主页：HTTP://AIDNS.CN

相关推荐