Ограничения клеевой записи для авторитетных серверов имен

Я пытаюсь настроить некоторые серверы имен для использования во многих доменах, но, похоже, у меня возникли некоторые проблемы с настройкой, и я не совсем понимаю, что нужно исправить, чтобы заставить его работать.

Для моих серверов имен он настроен следующим образом:

1. У меня есть несколько доменов серверов имен, ns-com.example, ns-net.example, ns-org.example.
2. У меня есть несколько серверов имен. Серверы имен соответствуют своим собственным субдоменам.

ns1 => 192.0.2.123
нс2 => 192.0.2.124
нс3 => 192.0.2.125
нс4 => 192.0.2.126

3. Каждый домен имеет ns1 и ns2 для своих серверов имен. Поэтому я создал клеевые записи для каждого. Обратите внимание, что это означает, что нет связующих записей для ns3 и ns4. Пример вывода dig с сервера gTLD:

; <<>> DiG 9.16.1-Ubuntu <<>> +norec @c.gtld-servers.net. ns-net.example.
; (2 сервера найдено)
;; глобальные параметры: +cmd
;; Получил ответ:
;; ->>HEADER<<- код операции: QUERY, статус: NOERROR, id: 11669
;; флаги: qr; ЗАПРОС: 1, ОТВЕТ: 0, АВТОРИЗАЦИЯ: 2, ДОПОЛНИТЕЛЬНО: 3

;; ДОПОЛНИТЕЛЬНЫЙ ПСЕВДОРАЗДЕЛ:
; ЭДНС: версия: 0, флаги:; UDP: 4096
;; РАЗДЕЛ ВОПРОСОВ:
;ns-net.пример. В

;; ОТДЕЛ ПОЛНОМОЧИЙ:
ns-net.example. 172800 В NS ns1.ns-net.example.
ns-net.example. 172800 В NS ns2.ns-net.example.

;; ДОПОЛНИТЕЛЬНЫЙ РАЗДЕЛ:
ns1.ns-net.пример. 172800 В А 192.0.2.123
ns2.ns-net.пример. 172800 В А 192.0.2.124

;; Время запроса: 23 мс
;; СЕРВЕР: 192.26.92.30#53(192.26.92.30)
;; КОГДА: понедельник, 13 декабря, 14:34:20 по восточному поясному времени 2021 г.
;; РАЗМЕР MSG rcvd: 109

4. Если бы кто-то выполнил запрос NS, каждый сервер имен ответил бы соответствующими ответами ns1 и ns2 с IP-адресами, перечисленными в дополнительном разделе.

; <<>> DiG 9.16.1-Ubuntu <<>> +norec @ns1.ns-net.example. ns-net.example. NS
; (найден 1 сервер)
;; глобальные параметры: +cmd
;; Получил ответ:
;; ->>HEADER<<- код операции: QUERY, статус: NOERROR, id: 16843
;; флаги: qr aa; ЗАПРОС: 1, ОТВЕТ: 2, АВТОРИТЕТ: 0, ДОПОЛНИТЕЛЬНО: 3

;; ДОПОЛНИТЕЛЬНЫЙ ПСЕВДОРАЗДЕЛ:
; ЭДНС: версия: 0, флаги:; UDP: 4096
; ПЕЧЕНЬЕ: d757529672f25fcb (эхо)
;; РАЗДЕЛ ВОПРОСОВ:
;ns-net.пример. В НС

;; РАЗДЕЛ ОТВЕТОВ:
ns-net.example. 14400 IN NS ns1.ns-net.example.
ns-net.example. 14400 IN NS ns2.ns-net.example.

;; ДОПОЛНИТЕЛЬНЫЙ РАЗДЕЛ:
ns1.ns-net.пример. 300 В А 192.0.2.123
ns2.ns-net.пример. 300 В А 192.0.2.124

;; Время запроса: 11 мс
;; СЕРВЕР: 192.0.2.123#53(192.0.2.123)
;; КОГДА: понедельник, 13 декабря, 14:36:56 по восточному поясному времени 2021 г.
;; MSG SIZE rcvd: 191

Выполнение запроса dig к любому из серверов имен для любого из других серверов имен вернет IP, как и ожидалось:

; <<>> DiG 9.16.1-Ubuntu <<>> +norec @ns1.ns-net.example. ns3.ns-net.пример.
; (найден 1 сервер)
;; глобальные параметры: +cmd
;; Получил ответ:
;; ->>HEADER<<- код операции: QUERY, статус: NOERROR, id: 63226
;; флаги: qr aa; ЗАПРОС: 1, ОТВЕТ: 1, ПОЛНОМОЧИЯ: 0, ДОПОЛНИТЕЛЬНО: 1

;; ДОПОЛНИТЕЛЬНЫЙ ПСЕВДОРАЗДЕЛ:
; ЭДНС: версия: 0, флаги:; UDP: 4096
; COOKIE: 5786fc62c3f155e8 (эхо)
;; РАЗДЕЛ ВОПРОСОВ:
;ns3.ns-net.example. В

;; РАЗДЕЛ ОТВЕТОВ:
ns3.ns-net.пример. 300 В А 192.0.2.125

;; Время запроса: 15 мс
;; СЕРВЕР: 192.0.2.123#53(192.0.2.123)
;; КОГДА: понедельник, 13 декабря, 14:39:46 по восточному поясному времени 2021 г.
;; РАЗМЕР MSG rcvd: 87

Теперь о проблеме:

у меня есть домен сайт-net.example для которых я хотел бы использовать свои серверы имен. я могу назначить ns1.ns-net.example и ns2.ns-net.example отлично. Однако я не могу назначить ns3.ns-net.example и ns4.ns-net.example. я может назначать ns3.ns-org.example и ns4.ns-org.example.

Почему это? Я предполагаю, что проблема вызвана отсутствием связующих записей для ns3 и ns4 (поскольку .com и .net используют общие серверы gTLD), но, насколько мне известно, это не обязательное условие, когда сервер имен является другой домен.

Если это является требование, я хотел бы знать, как можно проверить эту ситуацию. ns3 и ns4 не указаны в качестве серверов имен для доменов серверов имен, поэтому, если бы они существовали, эти связующие записи не были бы возвращены при запуске. копать землю против серверов gTLD.

Кроме того, если это так, относится ли это ко всем ДВУ? Я могу добавить дополнительное ограничение, где, если домен является TLD .com, чтобы также избежать ns3/4 TLD .net и наоборот, но я ищу конкретную информацию, чтобы знать, почему я реализовал это таким образом.

Редактировать: добавлены некоторые (запутанные) результаты раскопок.

Кроме того, была просьба уточнить, что я имею в виду под «назначением» и почему я думаю, что это проблема с клеями. Я использую Google Domains в качестве регистратора своего тестового сайта. Когда я пытаюсь установить пользовательские серверы имен домена на ns3.ns-net.example и ns4.ns-net.example, я получаю сообщение об ошибке "Реестр отклонил серверы имен" со ссылкой на Клейкие записи Google Domains ресурс.

Во-первых, ваш вопрос был бы НАМНОГО полезнее и на него было бы легче ответить, если бы вы назвали настоящие имена, а не все запутывали (и я отредактировал ваши запутывания).

Особенно с тех пор, как:

• ваш случай НЕ о клеях. Имена серверов имен, которые вы используете, не находятся «под» доменами, использующими их, поэтому нет никаких клеев (именно там, где все было бы проще, если бы вы дали настоящие имена); клеи возвращаются уполномоченным сервером имен реестра ТОЛЬКО при необходимости (то есть при запросе NS записи в базовом домене, в котором находятся имена серверов имен), и не должны возвращаться для любого другого случайного домена, использующего эти серверы имен (и любой рекурсивный сервер имен в любом случае будет игнорировать их по соображениям безопасности, чтобы избежать отравления кеша)
• вы говорите: «Однако я не могу назначить», что неясно. Что именно ты сделал? Где? Какие ошибки вы получили? и т.д.

Как для:

Если бы кто-то выполнил запрос NS, каждый сервер имен ответил бы соответствующими ответами ns1 и ns2 с IP-адресами, перечисленными в дополнительном разделе.

Вместо этого дайте реальный копать землю запросы, показывающие, что именно вы сделали, и результаты. Вы также можете посмотреть DNSViz в Интернете, очень хороший инструмент для устранения неполадок.

У меня есть домен site-net.example, для которого я хотел бы использовать свои серверы имен. Я могу нормально назначить ns1.ns-net.example и ns2.ns-net.example.

Опять же, здесь нет никаких клеев, поскольку имена ваших серверов имен не используют домены (сайт-net.example) вы используете их для.

Каждый домен имеет ns1 и ns2 для своих серверов имен. Поэтому я создал клеевые записи для каждого.Обратите внимание, что это означает, что нет связующих записей для ns3 и ns4.

Клеи нужны ТОЛЬКО если используется сервер имен. В противном случае многие реестры не потребуют его там или потребуют при создании хост-объекта, но, очевидно, ничего не опубликуют на своих авторитетных серверах имен.

Что касается правил, то их слишком много, как на уровне регистратора, так и на уровне реестра, поэтому без дополнительной информации от вас почти невозможно помочь вам (особенно потому, что вы, похоже, также запрашиваете «все» TLD):

Среди прочего есть:

• ограничение (минимальное и максимальное) на количество серверов имен, которые вы можете иметь для одного домена (и многие небольшие реестры поддерживают только 2 сервера имен на домен, не более)
• и ограничить количество IP-адресов на серверы имен
• могут быть тесты делегирования, когда ваши серверы имен проверяются на правильную конфигурацию в то время, когда вы на них влияете (что может проверить, являются ли IP-адреса отдельными или нет и т. д.)
• некоторые реестры используют хосты как объекты, другие как атрибуты (даже если это становится исключением)
• IP-адреса хоста могут быть необязательными или обязательными при создании объекта хоста или запрашиваться позже, если вдруг имя начнет использоваться там, где нужен клей.
• и т.д.

но я ищу конкретную информацию, чтобы знать, почему я реализовал ее таким образом.

Вы запрашиваете конкретную информацию, основанную на совершенно неконкретных деталях, так что это невозможно. Кроме того, ваш регистратор должен быть в состоянии предоставить более подробную информацию специально для случаев, когда вы говорите «Я не могу назначить», поэтому он должен быть в состоянии объяснить вам ситуацию с конкретными деталями. Здесь это невозможно без более подробной информации от вас.