J'ai remarqué que plusieurs fournisseurs de services exploitent des services DNS pour les domaines de leurs clients avec des noms NS définis pour la zone et retournés par le serveur de noms faisant autorité (dans la section autorité/NS & enregistrements SOA) qui ne correspondent pas au NS les noms renvoyés par le serveur en amont (par exemple les serveurs TLD) et qui ont été utilisés pour la recherche.DNS: Les noms NS définis pour une zone doivent-ils correspondre aux noms NS signalés par les serveurs TLD amont?
Exemple:
dig $ the-domain-name-here.com NS
; <<>> DiG 9.4.2-P1 <<>> the-domain-name-here.com NS
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7844
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 2
;; QUESTION SECTION:
;the-domain-name-here.com. IN NS
;; ANSWER SECTION:
the-domain-name-here.com. 172370 IN NS ns1.service-provider-here.net.
the-domain-name-here.com. 172370 IN NS ns2.service-provider-here.net.
;; ADDITIONAL SECTION:
ns1.service-provider-here.net. 7200 IN A 192.168.100.1
ns2.service-provider-here.net. 7200 IN A 192.168.100.2
;; Query time: 65 msec
;; SERVER: 192.168.0.1#53(192.168.0.1)
;; WHEN: Wed Mar 11 19:44:00 2009
;; MSG SIZE rcvd: 118
$ dig @ ns1.service-provider-here.net. the-domain-name-here.com
; <<>> DiG 9.4.2-P1 <<>> @ns1.service-provider-here.net the-domain-name-here.com
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48010
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0
;; WARNING: recursion requested but not available
;; QUESTION SECTION:
;the-domain-name-here.com. IN A
;; ANSWER SECTION:
the-domain-name-here.com. 86400 IN A 192.168.100.3
;; AUTHORITY SECTION:
the-domain-name-here.com. 86400 IN NS ns1.different-trade-name.net.
the-domain-name-here.com. 86400 IN NS ns2.different-trade-name.net.
;; Query time: 68 msec
;; SERVER: 192.168.100.1#53(192.168.100.1)
;; WHEN: Wed Mar 11 19:46:00 2009
;; MSG SIZE rcvd: 100
Les serveurs disent que le serveur TLD générique nom est ns1.service-provider-here.net et quand on recherche le nom à ce serveur, il donne une réponse faisant autorité mais fuit un nom de NS différent dans la section d'autorité (ns1.different-trade-name.net).
Des milliers de domaines sont configurés de cette manière. Cela ne semble pas causer de problèmes, mais cela semble si mauvais.
Est-ce que cela a vraiment de l'importance? Y aura-t-il une situation où les résolveurs/clients feront une recherche supplémentaire ou même échoueront à résoudre le nom à cause de cela?
en effet - les «références» dans la zone parente sont nécessaires, mais pas définitives. Seuls les serveurs de noms réels sont autorisés à redonner des réponses faisant autorité avec le bit "AA" défini dans l'en-tête. – Alnitak