继续前面一个关于AUTHORITY: 和 ADDITIONAL的帖子，请各位大大积极探讨。

hjp0021

继续前面一个关于AUTHORITY: 和 ADDITIONAL的帖子，上个帖子我凭文字说，现在截图给大家看看。





我测试ns1.onlinenic.net的IP是64.84.29.56，和a.gtld-servers.net服务器告诉我们的不一样哦，大家自己可以测试一下。

（1）为什么a.gtld-servers.net给出ns1.onlinenic.net的IP似乎是错误的？
（2）作为cache-DNS server来说，它会采用这个ADDITIONAL的IP来解析mail.onlinenic.com吗？
（3）什么情况下采用，什么情况下不采用？
（4）怎么解决（避免）这种状况？

silty

不考虑onlinenic.net域已修改NS记录

1、a.gtld-servers.net上ns1.onlinenic.net 的IP却是旧的222.76.216.144：
注意这是“onlinenic.net”域的NS记录，即ns1.onlinenic.net是“onlinenic.net ”域的权威NS。
但是查找ns1.onlinenic.net的A记录，还是在“ns1.onlinenic.net”，即222.76.216.144去查询的

2、a.gtld-servers.net 上 ns1.onlinenic.net 的IP却是旧的 222.76.216.144 ，这个IP是缓存的还是在配置文件中的？
由配置文件载入内存的，a.gtld-servers.net负责授权的嘛。

3、我测试bind是可以直接采用ADDITIONAL IP的

silty

1、我所查询到的“onlinenic.net”域的权威DNS为“ns1.dns-diy.com”：

C:\>dig ns onlinenic.net @a.gtld-servers.net

; <<>> DiG 9.6.1-P1 <<>> ns onlinenic.net @a.gtld-servers.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 270
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 6
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;onlinenic.net.                 IN      NS

;; AUTHORITY SECTION:
onlinenic.net.          172800  IN      NS      ns1.dns-diy.com.
onlinenic.net.          172800  IN      NS      ns2.dns-diy.com.

;; ADDITIONAL SECTION:
ns1.dns-diy.com.        172800  IN      A       61.145.116.174
ns1.dns-diy.com.        172800  IN      A       218.85.139.33
ns1.dns-diy.com.        172800  IN      A       210.51.180.239
ns2.dns-diy.com.        172800  IN      A       60.191.252.68
ns2.dns-diy.com.        172800  IN      A       218.107.207.23
ns2.dns-diy.com.        172800  IN      A       211.152.42.137

;; Query time: 343 msec
;; SERVER: 192.5.6.30#53(192.5.6.30)
;; WHEN: Mon May 31 16:44:54 2010
;; MSG SIZE  rcvd: 174

C:\>dig ns1.onlinenic.net @127.0.0.1

; <<>> DiG 9.6.1-P1 <<>> ns1.onlinenic.net @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2017
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;ns1.onlinenic.net.             IN      A

;; ANSWER SECTION:
ns1.onlinenic.net.      3243    IN      A       64.84.29.56

;; AUTHORITY SECTION:
onlinenic.net.          170777  IN      NS      ns2.dns-diy.com.
onlinenic.net.          170777  IN      NS      ns1.dns-diy.com.

;; ADDITIONAL SECTION:
ns1.dns-diy.com.        244     IN      A       218.85.139.33
ns2.dns-diy.com.        243     IN      A       218.107.207.23

;; Query time: 15 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon May 31 17:25:05 2010
;; MSG SIZE  rcvd: 130

C:\>dig ns1.onlinenic.net @ns1.dns-diy.com

; <<>> DiG 9.6.1-P1 <<>> ns1.onlinenic.net @ns1.dns-diy.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 108
;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;ns1.onlinenic.net.             IN      A

;; ANSWER SECTION:
ns1.onlinenic.net.      3600    IN      A       64.84.29.56

;; Query time: 31 msec
;; SERVER: 218.85.139.33#53(218.85.139.33)
;; WHEN: Mon May 31 17:28:35 2010
;; MSG SIZE  rcvd: 51

C:\>dig ns1.onlinenic.net @ns1.onlinenic.net

; <<>> DiG 9.6.1-P1 <<>> ns1.onlinenic.net @ns1.onlinenic.net
;; global options: +cmd
;; connection timed out; no servers could be reached

结果并没有错误。至于楼主的结果，应该是onlinenic.com域更改了NS记录，即“ns1.onlinenic.net”A记录与a.gtld-servers.net上的NS记录不一致而已，并且ns1.onlinenic.net已不再是域“onlinenic.net”的权威NS

2、作为cache-DNS server来说，它会采用这个ADDITIONAL的IP来解析mail.onlinenic.com吗？
会，否则每个域名都从根服务器进行迭代查询，那开销未免也太大了

3、什么情况下采用，什么情况下不采用？
缓存服务器有该域的NS记录缓存结果时，直接采用，若没有，则是从根服务器开始迭代查询。

4、如何避免：这个，恩..重新编译bind，设定每个域名都从根开始迭代，或者不缓存解析结果。。。。。。

silty

C:\>dig ns1.onlinenic.net

; <<>> DiG 9.6.1-P1 <<>> ns1.onlinenic.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1026
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;ns1.onlinenic.net.             IN      A

;; ANSWER SECTION:
ns1.onlinenic.net.      3600    IN      A       64.84.29.56

;; Query time: 15 msec
;; SERVER: 202.96.134.133#53(202.96.134.133)
;; WHEN: Mon May 31 17:16:31 2010
;; MSG SIZE  rcvd: 51

hjp0021

谢谢“silty ”的回复，你判断的原因和我想的一致。 但是还有一些不明白的地方，请指教。

我的理解是：
(1) onlinenic.com 在 a.gtld-servers.net 上的两个权威 NS ，其中之一是ns1.onlinenic.net ；
(2)但是 ns1.onlinenic.net 的A记录曾经（或最近）被修改，由原来的 222.76.216.144 改成了 64.84.29.56；
(3)然而 a.gtld-servers.net 上 ns1.onlinenic.net 的IP却是旧的 222.76.216.144 ；（这个IP是缓存的还是在配置文件中的？）


以上因素造成了解析 mail.onlinenic.com 的错误，我对两台DNS-SERVER进行测试，一台是BIND，一台是CNS，这两台都是仅作cache-DNS。
（1）CNS 采用222.76.216.144作为对 onlinenic.com. 的解析查询，因此得到的结果：mail.onlinenic.com ---> 218.104.139.233；
（2）bind不采用 222.76.216.144 来作为对 onlinenic.com. 的解析，而是严格逐级递归的方式进行查询，于是得到结果：mail.onlinenic.com ---> 218.104.139.227；（这个结果是正确的）
也就是说有些DNS-SERVER信任 ADDITIONAL IP ，而有些则不信任。

这种问题的根源是哪一个呢？
（1） CNS有问题？重新配置CNS，使得它执行严格的递归查询，不信任ADDITIONAL IP 。（能这么操作吗？）
（2）还是 *.gtld-servers.net 的问题？因为它给出的ADDITIONAL IP 不是我们想要的。（这该找谁去解决？）
（3）其他的解决办法。

另，今天查了bind 文档，没有找到不信任ADDITIONAL IP 的相关配置；CNS的还没有查。

llzqq

顶级域DNS上的NS记录不一定要与权威DNS上的NS记录一致，拿ABC.COM为例：

如顶级域DNS上ABC.COM的NS记录为ns.aaa.com，而ns.aaa.com上重新定义了NS为ns.bbb.com则这时ns.bbb.com为ABC.COM的实际权威DNS。

各地的缓存DNS会顺藤摸瓜到ns.bbb.com上取结果！


详情见：《DNS扫盲系列之域名解析授权》。

hjp0021

很早就接触DNS了，碰到问题才发现基础知识的重要性，这次又重新厘清了一些似是而非的概念。

感谢楼上的两位。

edisonzfy

顶级域DNS上的NS记录不一定要与权威DNS上的NS记录一致，拿ABC.COM为例：

如顶级域DNS上ABC.COM的NS记录为 ...
llzqq 发表于 2010-06-01 15:30

    呵呵，这位兄台说得正是。通常实际使用的都是域名权威DNS上的NS记录。