掃盲系列之八《關(guān)于域名解析的授權(quán)》首先是兩個(gè)相關(guān)的概念：域名授權(quán)： 指定誰(shuí)是該域名的權(quán)威DNS ，即由誰(shuí)負(fù)責(zé)解析該域名（由NS 記錄操作完成）。 權(quán)威DNS: 特指對(duì)特定域名具有權(quán)威發(fā)布能力的DNS

掃盲系列之八《關(guān)于域名解析的授權(quán)》

首先是兩個(gè)相關(guān)的概念：

域名授權(quán)： 指定誰(shuí)是該域名的權(quán)威DNS ，即由誰(shuí)負(fù)責(zé)解析該域名（由NS 記錄操作完成）。 權(quán)威DNS: 特指對(duì)特定域名具有權(quán)威發(fā)布能力的DNS ；互聯(lián)網(wǎng)上域名（域名記錄）解析結(jié)

果的原出處。

目前域名解析授權(quán)狀況：

目前在互聯(lián)網(wǎng)上域名解析授權(quán)大體上是誰(shuí)出售域名就把域名的權(quán)威DNS 授權(quán)給誰(shuí)并由其提供域名的權(quán)威DNS 來(lái)完成域名解析工作，如購(gòu)買(mǎi)了新網(wǎng)域名默認(rèn)就是由新網(wǎng)的權(quán)威DNS （nsx.xinnetdns.com 、nsx.xinnet.cn ）負(fù)責(zé)所售域名解析:

[root@test root]#dig @a.gtld-servers.net xinnet.com ns

;; ANSWER SECTION:

xinnet.com. 172800 IN NS ns.xinnet.cn.

xinnet.com. 172800 IN NS ns.xinnetdns.com. xinnet.com. 172800 IN NS ns2.xinnet.cn.

xinnet.com. 172800 IN NS ns2.xinnetdns.com.

域名解析授權(quán)是怎么實(shí)現(xiàn)的：

域名解析授權(quán)是個(gè)樹(shù)狀的，從上而下的分層體系，簡(jiǎn)圖如下：

首先“. ”DNS 把COM/NET/CN/ORG/TV等等域名按后綴的不同分別授權(quán)給不同的DNS ，以利于分別管理。如COM/NET域名被授權(quán)給了如下幾個(gè)權(quán)威DNS 。這里不難想像要修改COM/NET的授權(quán)DNS 要到“. ”DNS 上去操作才能完成。

[root@test root]#dig com. ns

作者：LLZQQ 主頁(yè)：HTTP://AIDNS.CN

;; ANSWER SECTION:

com. 96045 IN NS d.gtld-servers.net. com. 96045 IN NS g.gtld-servers.net. com. 96045 IN NS b.gtld-servers.net. com. 96045 IN NS k.gtld-servers.net. com. 96045 IN NS f.gtld-servers.net. com. 96045 IN NS l.gtld-servers.net. com. 96045 IN NS j.gtld-servers.net. com. 96045 IN NS a.gtld-servers.net. com. 96045 IN NS i.gtld-servers.net. com. 96045 IN NS m.gtld-servers.net. com. 96045 IN NS e.gtld-servers.net. com. 96045 IN NS h.gtld-servers.net. com. 96045 IN NS c.gtld-servers.net.

同理可知，要指定或修改ABC.COM 的權(quán)威DNS 要去頂級(jí)DNS 上操作。通常來(lái)說(shuō)一般的域名所有者是無(wú)權(quán)登錄頂級(jí)DNS 進(jìn)行操作的。只能通過(guò)域名提供商（如新網(wǎng)，萬(wàn)網(wǎng)等）的專用接口（位于域名商的域名管理平臺(tái)上）來(lái)間接操作頂級(jí)DNS 上的記錄。

以ABC.COM 為例簡(jiǎn)要說(shuō)明怎么指定自己的權(quán)威DNS ，假設(shè)ABC.COM 是在新網(wǎng)購(gòu)買(mǎi)，那么默認(rèn)該域名的權(quán)威DNS 就是nsx.xinnetdns.com 、nsx.xinnet.cn 。這時(shí)候要修改默認(rèn)權(quán)威DNS 。首先登錄新網(wǎng)的域名管理后臺(tái)，找到修改域名DNS 頁(yè)面即可完成操作（詳細(xì)過(guò)程這里有：http://docs.aidns.cn/help02.htm）。操作完成后要驗(yàn)證一下是否修改成功：

[root@test root]#dig @a.gtld-servers.net abc.com ns

;; ANSWER SECTION:

abc.com. 172800 IN NS ns1.ai-dns.com.

abc.com. 172800 IN NS ns2.ai-dns.com.

abc.com. 172800 IN NS ns3.ai-dns.com.

這里我們把ABC.COM 授權(quán)給了nsx.ai-dns.com 了。

關(guān)于域名權(quán)威DNS 的再授權(quán)：

以ABC.COM 為例，再授權(quán)是指在nsx.ai-dns.com 上面再次指定該域名的權(quán)威DNS ，再授權(quán)的意義有這么幾個(gè)：

1. 擴(kuò)展現(xiàn)有的權(quán)威DNS 數(shù)量，如現(xiàn)有ns1,ns2,ns3.ai-dns.com 共三臺(tái)DNS ，現(xiàn)在要

增加到4臺(tái)，則可以在原3臺(tái)DNS 上abc.com 的ZONE 文件內(nèi)增加ns4這個(gè)NS 記錄。 原來(lái)的ZONE 內(nèi)容：

$TTL 2d

$ORIGIN abc.com.

@ 3600 IN SOA ns1.ai-dns.com. root.ai-dns.com.(

2288091841 1h 600 1w 900 )

@ 2d IN NS ns1.ai-dns.com.

作者：LLZQQ 主頁(yè)：HTTP://AIDNS.CN

@

@

2d IN NS ns2.ai-dns.com. 2d IN NS ns3.ai-dns.com.

增加ns4這個(gè)NS 記錄后為：

$TTL 2d

$ORIGIN abc.com.

@ 3600 IN SOA ns1.ai-dns.com. root.ai-dns.com.(

2288091841 1h 600 1w 900 )

@ 2d IN NS ns1.ai-dns.com.

@ 2d IN NS ns2.ai-dns.com.

@ 2d IN NS ns3.ai-dns.com.

@ 2d IN NS ns4.ai-dns.com.

當(dāng)然增加NS4的操作也可以在頂級(jí)DNS 上完成，不再贅述。

2. 把權(quán)威DNS 重新授權(quán)給其他DNS ，如把原來(lái)的權(quán)威DNS （nsx.ai-dns.com ）重新授

權(quán)給別人（nsx.ddd.com ）。操作過(guò)程同上，不再贅述。

再授權(quán)可能存在的潛在問(wèn)題：

再授權(quán)無(wú)疑使得域名解析授權(quán)變得更靈活，但是存在以下潛在的隱患。當(dāng)原授權(quán)的權(quán)威DNS （即在頂級(jí)DNS 定義的權(quán)威DNS ）故障時(shí)，這時(shí)再授權(quán)的DNS 將無(wú)法工作，導(dǎo)致域名無(wú)法解析（這是由域名解析過(guò)程是自上而下的這個(gè)特性決定的）。同時(shí)也增加了安全隱患。

附加部分1：慎用WHOIS 來(lái)查看域名權(quán)威DNS 。

對(duì)于域名的Whois 數(shù)據(jù)庫(kù)是由域名銷售商控制的，即每個(gè)域名銷售商都有自己的WHOIS 服務(wù)器，這些服務(wù)器用來(lái)存儲(chǔ)自身出售的域名信息，如域名所有人，聯(lián)系方法，到期時(shí)間等內(nèi)容。WHOIS 信息中顯示的域名當(dāng)前權(quán)威DNS 信息很可能沒(méi)有及時(shí)與域名實(shí)際的權(quán)威DNS 信息同步而導(dǎo)致錯(cuò)誤的判斷。

附加部分2：“. ”根DNS 是怎么被授權(quán)的？

由于“. ”根DNS 所處域名解析體系的頂端，無(wú)法按照常規(guī)方法對(duì)其授權(quán)。到目前為止其授權(quán)方法是把所有“. ”DNS 列表存放在一個(gè)文本文件內(nèi)（自己授權(quán)給自己），名字通常為root.hint 內(nèi)容如下（部分節(jié)選）：

. 3600000 IN NS A.ROOT-SERVERS.NET.

A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4

. 3600000 NS B.ROOT-SERVERS.NET.

B.ROOT-SERVERS.NET. 3600000 A 192.228.79.201

作者：LLZQQ 主頁(yè)：HTTP://AIDNS.CN