Ubuntu Suomen keskustelualueet
Muut alueet => Yleistä keskustelua => Aiheen aloitti: jekku - 30.04.16 - klo:11.29
-
Olen koettanut löytää selkokielistä tarinaa miten tuo kuvio toimii.
Eli alkoi kiinnostaa miten on organisoitu 'nimipalvelinten nimipalvelimet'?
Esimerkiksi bind9:ssä on mahdollista asettaa "forwarders" - mutta kuka ja missä asettaa sen seuraavan stepin kunnes tarvittaessa päädytään juuripalvelimille.
Ja kuinka monitasoisesti tuo mahtaa olla jäsennelty.
-
Olen koettanut löytää selkokielistä tarinaa miten tuo kuvio toimii.
Eli alkoi kiinnostaa miten on organisoitu 'nimipalvelinten nimipalvelimet'?
Esimerkiksi bind9:ssä on mahdollista asettaa "forwarders" - mutta kuka ja missä asettaa sen seuraavan stepin kunnes tarvittaessa päädytään juuripalvelimille.
Ja kuinka monitasoisesti tuo mahtaa olla jäsennelty.
DNS-kysely etenee usein tähän tapaan:
selain -> käyttöjärjestelmä -> reitittimen DNS-välityspalvelu -> yrityksen DNS-palvelin -> palveluntarjoajan DNS-palvelin
Jokaisella tasolla voi olla välimuisti ja oma osoitteenselvitys sisäisille osoitteille. Isomman palveluntarjoajan DNS-palvelin ei enää välitä pyyntöä eteenpäin vaan selvittää osoitteen iteratiivisesti root-tasolta alaspäin autoritäärisiltä nimipalvelimilta (https://fi.wikipedia.org/wiki/DNS#Autorit.C3.A4.C3.A4riset_nimipalvelimet):
https://technet.microsoft.com/en-us/library/cc775637%28v=ws.10%29.aspx
(https://technet.microsoft.com/dynimg/IC195945.gif)
Voit tehdä samanlaisen selvityksen dig-ohjelmalla:
dig +trace forum.ubuntu-fi.org
; <<>> DiG 9.9.5-3ubuntu0.8-Ubuntu <<>> +trace forum.ubuntu-fi.org
;; global options: +cmd
. 79541 IN NS g.root-servers.net.
. 79541 IN NS b.root-servers.net.
. 79541 IN NS h.root-servers.net.
. 79541 IN NS k.root-servers.net.
. 79541 IN NS e.root-servers.net.
. 79541 IN NS f.root-servers.net.
. 79541 IN NS i.root-servers.net.
. 79541 IN NS m.root-servers.net.
. 79541 IN NS j.root-servers.net.
. 79541 IN NS l.root-servers.net.
. 79541 IN NS a.root-servers.net.
. 79541 IN NS d.root-servers.net.
. 79541 IN NS c.root-servers.net.
;; Received 241 bytes from 127.0.0.1#53(127.0.0.1) in 98 ms
org. 172800 IN NS a2.org.afilias-nst.info.
org. 172800 IN NS b0.org.afilias-nst.org.
org. 172800 IN NS c0.org.afilias-nst.info.
org. 172800 IN NS b2.org.afilias-nst.org.
org. 172800 IN NS d0.org.afilias-nst.org.
org. 172800 IN NS a0.org.afilias-nst.info.
org. 86400 IN DS 9795 7 1 364DFAB3DAF254CAB477B5675B10766DDAA24982
org. 86400 IN DS 9795 7 2 3922B31B6F3A4EA92B19EB7B52120F031FD8E05FF0B03BAFCF9F891B FE7FF8E5
org. 86400 IN RRSIG DS 8 1 86400 20160510050000 20160430040000 60615 . cJU+D87CafgA0o6N1Wmu4iT8vgYrBxju/0TAKWmaZhXBgKCWNTuR70DH i7xjHdOq+zMRO1S2+hlADLp80JajooMPXNaugFsw9PXFqlZ59R5wCJyD z+gDqTxvpdUqYOJvbWmaaQK/XIR4w6hSgfgSj9OvCftZyLc/qLmsihKW dss=
;; Received 693 bytes from 192.228.79.201#53(b.root-servers.net) in 183 ms
ubuntu-fi.org. 86400 IN NS ns3.canonical.com.
ubuntu-fi.org. 86400 IN NS ns1.canonical.com.
ubuntu-fi.org. 86400 IN NS ns2.canonical.com.
h9p7u7tr2u91d0v0ljs9l1gidnp90u3h.org. 86400 IN NSEC3 1 1 1 D399EAAB H9PARR669T6U8O1GSG9E1LMITK4DEM0T NS SOA RRSIG DNSKEY NSEC3PARAM
h9p7u7tr2u91d0v0ljs9l1gidnp90u3h.org. 86400 IN RRSIG NSEC3 7 2 86400 20160521094744 20160430084744 20264 org. Kw9slZXn7zRFQBamoYvXxtYa+qTn8F1oImSgSRmr3wuOOKRtoOGa/jeQ frsPVLWpf6yNjCxi3l2BsU/beI2Z7yVfldwn8YWhGIIWOS9eCS0x71h1 3m4zbzn/Wkjtn0Vhp0FFmjQ5TuBM7vsEF6ESENUWTPq0faCbqqCncHz6 04g=
1k8ospvg750atj5vcl7b6fg8re35ctmm.org. 86400 IN NSEC3 1 1 1 D399EAAB 1KA4K224HUPI5H3JDCG2UDSRCU8B9SAO NS DS RRSIG
1k8ospvg750atj5vcl7b6fg8re35ctmm.org. 86400 IN RRSIG NSEC3 7 2 86400 20160520093418 20160429083418 20264 org. GfUNovL0J++a8N5G4XFf8haEoAD7CARnAY5l1LEgfRBD3D5UVK4BCVhk LAC6CTL/zznQcVbgPMqOZdDXc9ar+M9UDMLRaOuGYyRPJ+VPwHiq+B9A MKTT2X4vcw5fYKed+zsnprvuiKBpFp2sR8K8XENLEauj1B468+EWFyyw fdc=
;; Received 608 bytes from 199.19.54.1#53(b0.org.afilias-nst.org) in 34 ms
forum.ubuntu-fi.org. 86400 IN A 83.145.200.128
ubuntu-fi.org. 64800 IN NS ns2.canonical.com.
ubuntu-fi.org. 64800 IN NS ns3.canonical.com.
ubuntu-fi.org. 64800 IN NS ns1.canonical.com.
;; Received 179 bytes from 91.189.94.173#53(ns1.canonical.com) in 43 ms
-
Vaikutti selkeältä.
Joten jos oikein tulkitsin: ellei listatuilta nimipalvelimilta tietoa löydy niin kysely lähtee oitis noille juuripalvelimille jotka sitten valuttavat omien tietojensa perusteella alaspäin?
Toisin sanoen, ylläpitäjien ei tarvinne huolehtia kuin mahdollisesti yhdestä 'forwarders' osoitteesta ja systeemi hoitaa loput - millisekunneissa kuten listauksista kävi ilmi.
Kunhan ilmoittaa ne vaaditut, vähintään kaksi osoitetta sinne jossa domain rekisteröidään.
Ja noita toimijoita taitaa olla aikasten monta?
Kuitenkin, jossain on liuta rekistereitä joissa listataan kullekin domainille vähintään kaksi nimipalvelinta.
-
Vaikutti selkeältä.
Joten jos oikein tulkitsin: ellei listatuilta nimipalvelimilta tietoa löydy niin kysely lähtee oitis noille juuripalvelimille jotka sitten valuttavat omien tietojensa perusteella alaspäin?
Toisin sanoen, ylläpitäjien ei tarvinne huolehtia kuin mahdollisesti yhdestä 'forwarders' osoitteesta ja systeemi hoitaa loput - millisekunneissa kuten listauksista kävi ilmi.
Olet siis pystyttämässä omaa autoritääristä nimipalvelinta tietylle domainille? Siinä tapauksessa ei välttämättä ole tarvetta määritellä mitään forwarders-osoitteita. Jos palveluun saa selvityspyynnön osoitteelle, joka ei kuulu domainiin, vastauksena on, ettei palvelin tiedä osoitetta.
Yksityiskohtaiset ohjeet: https://www.digitalocean.com/community/tutorials/how-to-configure-bind-as-an-authoritative-only-dns-server-on-ubuntu-14-04
Kunhan ilmoittaa ne vaaditut, vähintään kaksi osoitetta sinne jossa domain rekisteröidään.
Ja noita toimijoita taitaa olla aikasten monta?
Itse en kyllä lähtisi pystyttämään ja ylläpitämään omaa bind-palvelinta ainakaan minkään pikkufirman tai yksityishenkilön tarpeisiin. Vaatii huomattavan paljon työtä, kun edullisia ja luotettavia palveluntarjoajia on pilvin pimein.
Kuitenkin, jossain on liuta rekistereitä joissa listataan kullekin domainille vähintään kaksi nimipalvelinta.
Ne pidetään tallessa ylemmän tason domainin autoritääristen nimipalvelimien tietokannoissa. Eli alidomain.esimerkki.fi-domainin nimipalvelimien osoitteet ovat esimerkki.fi-domainin DNS-palvelinten tiedossa.
-
Asia lähti tosiaan liikkeelle kun muuan tuttava kertoi olevansa tyytymätön/pettynyt tarjolla oleviin palveluihin, ja kysyi voinko tarjota yhden nimipalvelimen.
(Olin kertonut että privaativerkossani on moinen.)
Ja koska jo jonkin aikaa olen tuuminut että pitäisikö koettaa miten ipv6 taipuu, niin lupasin tutkia mitä lisätemppuja edessä jos laajentaisi sen nimipalvelimen hoitamaan myös hänen tarpeensa - joka tapauksessa jotain uusia metkuja taas selviteltävä.
Ja tuntuu noita temppuja tarvittavan. Kerrassan mielenkiintoinen kuvio selviteltävänä/opeteltavana.
Ainakin sen idean olen hylännyt että laajentaisin kotiverkkoni palvelinta myös hänen tarpeisiinsa.
Vaan vallan mainion tuntuiset yhteenvedot tuossa linkkamallasi sivulla.
Antaas ajan kulua ja katson mihin saakka mielenkiinto ja harrastus riittää.