Przykłady użycia narzędzia Nslookup. DNS i nazwy domen
Narzędzie nslookup to najpotężniejsze dostępne narzędzie diagnostyczne usług DNS. Przy odrobinie praktyki używanie tego narzędzia do wykrywania problemów i ich źródeł w usłudze DNS stanie się odruchem.Narzędzie nslookup umożliwia wysyłanie zapytań do serwerów DNS, symulując sekwencję działań wykonywanych przez komputer kliencki.
Możesz uruchomić to polecenie osobno, aby wysłać zapytanie do serwerów DNS. Dodając jedno z podpoleceń, możesz rozszerzyć funkcjonalność narzędzia. Podstawowe polecenie nslookup ma następującą składnię:
Nwyszukiwanie [-<подкоманда>] [węzeł] [-<сервер имен>]
Podając narzędziu nazwę hosta, pełną nazwę domeny lub adres IP jako parametr, można przetestować zdolność systemu do rozpoznawania nazw. Często przed zainstalowaniem agentów sieciowych dla produktów takich jak oprogramowanie do tworzenia kopii zapasowych dobrym pomysłem jest sprawdzenie, czy każdy system jest podłączony do pozostałych systemów w sieci. Jeśli usługa DNS nie jest poprawnie skonfigurowana, możesz się tego dowiedzieć za pomocą polecenia nslookup.
Załóżmy, że chcesz określić zdolność systemu do rozpoznania nazwy butthead.cartoons.com na adres IP. Aby to zrobić, musisz uruchomić polecenie nslookupbutthead.cartoons.com. Polecenie zwróci nazwę i adres IP serwera rozpoznawania nazw, do którego skierowano żądanie, a także nazwę i adres IP hosta podanego w żądaniu (beavis). Ten typ kontroli sprawdza, czy konfiguracja strefy przesyłania dalej na serwerze DNS jest poprawna.
Podobnie możesz sprawdzić strefę wyszukiwania wstecznego na serwerze DNS. Aby to zrobić, zamiast nazwy hosta należy podać adres IP hosta jako parametr. Oznacza to, że możesz uruchomić polecenie nslookup 10.5.10.82. I tym razem polecenie zwróci nazwę i adres IP serwera DNS, do którego wysłano żądanie. Dodatkowo wyświetlona zostanie nazwa i adres IP węzła określonego jako parametr. Po zwróceniu rekordu wyświetlany jest jeden z dwóch typów odpowiedzi serwera rozpoznawania nazw:
- Autorytatywna odpowiedź- serwer DNS zawiera rekord dla tego węzła („Mam ten rekord, oto on!”)
- Odpowiedź nieautoryzowana- serwer DNS otrzymał informację o tym wpisie z innego serwera DNS („Musiałem zapytać innego, ale wydaje się, że to jest poprawny wpis”)
Chociaż w idealnym świecie zapewnione byłyby te dwa typy odpowiedzi, w naszej rzeczywistości serwery DNS są czasami błędnie skonfigurowane lub brakuje im informacji o niektórych rekordach. W takich przypadkach nslookup nie jest w stanie rozpoznać podanej nazwy. Poniżej wymieniono odpowiedzi narzędzia nslookup, które są wyświetlane, gdy nie można rozpoznać nazwy.
błędy nslookup
Komunikat o błędzie |
|
Połączenie odrzucone |
Nie można nawiązać połączenia z serwerem DNS. Ten błąd występuje często w przypadku użycia komendy ls podczas łączenia się z serwerem, który umożliwia przesyłanie stref tylko do niektórych serwerów |
Błąd formatu |
Serwer DNS napotkał błąd w pakiecie żądania polecenia nslookup. Uruchom ponownie narzędzie nslookup, aby ponownie połączyć się z serwerem DNS |
Sieć jest niedostępna |
Nie można nawiązać połączenia z serwerem DNS. Spróbuj ustalić, czy istnieje routing dla sieci serwerów DNS, wysyłając pakiet echa testowego do hosta w podsieci serwera DNS |
Brak nagrań |
Brak rekordów dla typu zapytania określonego za pomocą podkomendy querytype (omówione później). |
Brak odpowiedzi z serwera |
Usługa DNS nie działa na podanym hoście (w parametrach polecenia lub we właściwościach protokołu TCP/IP) |
Nieistniejąca domena |
Nie można znaleźć rekordów dla żądanej nazwy domeny |
Odrzucony |
Serwer rozpoznawania nazw odrzucił żądanie narzędzia nslookup. Ten błąd występuje często w przypadku użycia komendy ls podczas łączenia się z serwerem skonfigurowanym do przesyłania stref tylko do określonych serwerów |
Awaria serwera |
Błąd lub uszkodzenie pliku danych strefy na serwerze DNS. Przywróć plik danych strefy z wcześniejszej kopii zapasowej |
Przekroczono limit czasu |
Serwer DNS nie odpowiedział w określonym przedziale czasu i przedziale ponawiania prób. Domyślny limit czasu wynosi 5 sekund. Interwał ponownych prób wynosi 4. Oznacza to, że narzędzie będzie czekać na odpowiedź przez 20 sekund przed wyświetleniem tego komunikatu o błędzie |
Większość funkcji narzędzia nslookup jest dostępna za pośrednictwem odpowiednich poleceń podrzędnych. Najprostszym sposobem uzyskania dostępu do podmenu poleceń jest wprowadzenie polecenia nslookup i naciśnięcie klawisza
polecenia nslookup:
Przyjrzyjmy się szczególnie poleceniu set. Służy do konfigurowania sposobu, w jaki bieżąca powłoka poleceń wysyła zapytania i pobiera rekordy z narzędzia nslookup. Istnieje kilka podpoleceń ustawiania, które opisano w poniższych artykułach.
Dostarcza dane, które będą potrzebne do przeprowadzenia działań diagnostycznych w stosunku do DNS. Musisz mieć wiedzę na temat specyfiki funkcjonowania tego systemu. Działania z podanym poleceniem są dozwolone tylko w sytuacjach, gdy wcześniej został zainstalowany protokół TCP/IP.
Składnia
nswyszukiwanie[-subcommand...] [(oryginalne_urządzenie | [-nazwa_serwera_DNS])]
Objaśnienie parametrów
-podzespół...
Umożliwia określenie jednego lub większej liczby podpoleceń jako parametrów CS. Dostępna jest specjalna lista podpoleceń nswyszukiwanie.
oryginalne_urządzenie
Wyszukuje informacje o określonym parametrze. Proces ten polega na użyciu domyślnego serwera nazw DNS. Możesz użyć dowolnego innego serwera, jeśli określisz podobny punkt.
-nazwa_serwera_DNS
Określa konkretny serwer nazw DNS, który ma być używany. Nie musisz podawać określonego parametru, wtedy zostanie użyty serwer domyślny.
(pomoc|?)
Umożliwia podanie skróconego opisu podpoleceń.
Funkcje zespołu
- Nie można wprowadzić w wierszu poleceń tekstu przekraczającego 256 znaków. W przeciwnym razie wykonanie nie nastąpi.
- Podczas przetwarzania może wystąpić błąd. Dostępnych jest kilka opcji wiadomości.
- Możesz przejść do trybu interaktywnego. Aby to zrobić, musisz wprowadzić znak specjalny w CS - łącznik (-).
- Dopuszczalna jest praca w trybie interaktywnym i standardowym. Druga opcja jest zalecana w przypadku wydawania stosunkowo małych ilości danych. Jeżeli potrzeba więcej informacji, należy skorzystać z trybu interaktywnego.
Nslookup:wyjdź
Umożliwia wyjście z nslookup
Pismo
Wyjaśnienie znaczeń
(pomoc|?)
Umożliwia uzyskanie informacji referencyjnych.
Nslookup:palec
Łączy się z serwerem Finger na prawidłowym urządzeniu.
Pismo
palec[nazwa użytkownika] [([ > ] nazwa_dokumentu|[ >> ] nazwa dokumentu )]
Wyjaśnienie znaczeń
nazwa użytkownika
Należy podać nazwę użytkownika, o którym będą przekazywane informacje.
nazwa dokumentu
Ustaw nazwę dokumentu, w którym zostaną zapisane otrzymane informacje. Do wykonania zadania przekierowania wykorzystywane są znaki specjalne (>) i (>>).
Nslookup: pomoc
Umożliwia wyświetlenie informacji o wszystkich podkomendach nslookup
Pismo
(pomoc|?)
Wyjaśnienie znaczeń
(pomoc|?)
Informacje referencyjne są wydawane.
Nslookup: ls
Wyświetlone zostaną informacje dotyczące domeny DNS.
Pismo
ls[parametr] domena_DNS [([ > ]nazwa_dokumentu |[ >> ] nazwa dokumentu )]
Rozszyfrowanie
parametr
W ustalonym przypadku należy zwrócić uwagę na możliwość zastosowania kilku opcji. Omówiono je bardziej szczegółowo w poniższej tabeli.
domena_DNS
Umożliwia ustawienie nazwy domeny DNS. Właśnie o tym podaje się informacje.
nazwa dokumentu
Musisz zainstalować dokument, w którym zostaną zapisane informacje. Do wykonania zadania przekierowania wykorzystywane są znaki specjalne (>) i (>>).
Nslookup:lserver
Umożliwia zmianę domyślnego serwera dla określonej domeny DNS.
Pismo
lserwer domena_DNS
Wyjaśnienie znaczeń
domena_DNS
Umożliwia ustawienie nowej domeny.
(pomoc|?)
Dostarcza dane referencyjne.
Nslookup:root
Zastępuje serwer domyślny serwerem przestrzeni nazw DNS.
Pismo
źródło
Wyjaśnienie znaczeń
(pomoc|?)
Umożliwia uzyskanie danych referencyjnych.
Nslookup:serwer
Zastępuje domyślny serwer dla określonej domeny DNS.
Pismo
serwer domena_DNS
Wyjaśnienie znaczeń
domena_DNS
Opisywany parametr należy zawsze podać. Ustawia nową domenę DNS dla serwera, która jest domyślna.
(pomoc|?)
Nslookup:ustaw
Wprowadza korekty do ustawień określających aktywność funkcji wyszukiwania. Możesz uzyskać listę wszystkich aktywnych parametrów. Aby wykonać takie zadanie należy napisać set all.
Pismo
ustawić słowo kluczowe[=dane]
Rozszyfrowanie
słowo kluczowe
Umożliwia określenie podpoleceń uzyskiwanych z zestawu.
indeks
Ustawia wartość parametru konfiguracyjnego dla wszystkich procedur.
(pomoc|?)
Służy do podawania danych referencyjnych.
Nslookup: ustaw wszystko
Umożliwia podanie aktualnych wskaźników parametrów ustawień.
Pismo
Wyjaśnienie znaczeń
(pomoc|?)
Używane w celu wystawienia informacji referencyjnych
Nslookup: ustaw klasę
Zmienia klasę żądania. Ustala grupę protokołów z informacjami.
Pismo
ustawić[ klasa]= Klasa
Rozszyfrowanie
Klasa
Jeśli nic nie określisz, zostanie użyta klasa IN. Poniżej znajduje się tabela opisująca dozwolone wskaźniki.
(pomoc|?)
Używane w celu wystawienia informacji referencyjnych
Nslookup: ustaw d2
Służy do uruchamiania i wyłączania bardziej szczegółowego trybu debugowania. Jeżeli skorzystasz z tego trybu, zwrócone zostaną wszystkie pola dla każdego istniejącego pakietu.
Pismo
ustawić d2
Wyjaśnienie znaczeń
Służy do wyłączania bardziej szczegółowego trybu skanowania.
Służy do uruchamiania bardziej szczegółowego trybu skanowania.
(pomoc|?)
Używane w celu wystawienia informacji referencyjnych
Nslookup: ustaw debugowanie
Służy do uruchamiania i wyłączania trybu debugowania. Należy wziąć pod uwagę, że włączenie zapewnia wytwarzanie szczegółowych danych o pakietach przesyłanych do serwera.
Pismo
ustawić [ NIE] Deb[ ug]
Wyjaśnienie znaczeń
węzełb
Służy do zapewnienia wyłączenia trybu debugowania. Podobna opcja zostanie określona, jeśli nic nie zostanie określone.
Służy do włączania trybu debugowania.
(pomoc|?)
Używane w celu wystawienia informacji referencyjnych
Nslookup: ustaw nazwę_definicyjną
Wymagane, aby dodać nazwę domeny DNS, zastosowaną bez określenia innych parametrów, do żądania wyszukiwania jednoskładnikowego (nie uwzględnia kropek).
Pismo
ustaw def
Wyjaśnienie znaczeń
węzeł
Nie dołączy nazwy domeny DNS, zastosowanej bez określenia innych parametrów, do żądania wyszukiwania pojedynczego komponentu.
def
Dołącza nazwę domeny DNS, zastosowaną bez określania innych parametrów, do żądania wyszukiwania pojedynczego komponentu.
(pomoc|?)
Używane w celu wystawienia informacji referencyjnych
Nslookup: ustaw domenę
Zastępuje domyślną nazwę serwera DNS określoną nazwą.
Pismo
ustawić Do[główny]=nazwa_domeny
Wyjaśnienie znaczeń
Nazwa domeny
Umożliwia ustawienie nowej nazwy dla domyślnej domeny DNS. Jeśli nic nie zostanie zapisane, w tym miejscu zostanie umieszczona nazwa węzła
(pomoc|?)
Używane w celu wystawienia informacji referencyjnych
Nslookup: ustaw ignorowanie
Pismo
ustaw t.j
Wyjaśnienie znaczeń
nie
Błędy nie będą ignorowane podczas obcinania pakietów. Jest to ustawienie domyślne.
t.j
Wszelkie błędy zostaną zignorowane podczas obcinania pakietów.
(pomoc|?)
Używane w celu wystawienia informacji referencyjnych
Nslookup: ustaw port
Zmienia port TCP/UDP serwera nazw DNS używanego jako podstawowy na określony parametr.
Pismo
ustawićpo[rt]= Port
Wyjaśnienie znaczeń
Port
Ustawia nową wartość portu TCP/UDP dla serwera nazw DNS
(pomoc|?)
Używane w celu wystawienia informacji referencyjnych
Nslookup: ustaw typ zapytania
Wprowadza zmiany w typie rekordu zasobu w celu realizacji żądania.
Pismo
ustawićQ[typ]= typ rekordu
Wyjaśnienie znaczeń
typ rekordu
Ustawia adres IP urządzenia |
|
Ustawia wszystkie typy informacji |
|
Określa wymiennik poczty |
|
Ustawia identyfikator użytkownika |
|
(pomoc|?)
Nslookup: ustaw rekurencję
Żąda, aby serwer nazw DNS przekazał zapytanie do innych serwerów, jeśli brakuje wymaganych informacji.
Pismo
ustaw rec
Wyjaśnienie znaczeń
norec
Eliminuje potrzebę przekazywania przez serwer nazw DNS zapytań do innych serwerów w sytuacjach, gdy wymagane informacje nie są dostępne.
rec
Określa, czy serwer nazw DNS powinien przekazywać żądanie do innych serwerów w sytuacjach, gdy wymagane informacje nie są dostępne.
(pomoc|?)
Używane w celu wystawienia informacji referencyjnych.
Nslookup: ustaw ponowną próbę
Ustawia liczbę ponownych prób.
Pismo
ustawić gnić[ ry]=ilość
Rozszyfrowanie
ilość
Ustawia metrykę obejmującą liczbę ponownych prób. Jeśli nic nie określisz, zostanie podana cyfra 4.
(pomoc|?)
Używane w celu wystawienia informacji referencyjnych.
Nslookup: ustaw root
Zastępuje nazwę serwera głównego używanego do wysyłania żądań.
Pismo
ustawićro[ot]= serwer_główny
Wyjaśnienie znaczeń
serwer_główny
Podaje nową nazwę serwera głównego. Jeśli nic nie zostanie zainstalowane, zostanie użyta nazwa ns.nic.ddn.mil.
(pomoc|?)
Używane w celu wystawienia informacji referencyjnych.
Nslookup: ustaw wyszukiwanie
Dodaje do żądania nazwy domen DNS z listy domen DNS. Podobne zadanie zostanie wykonane do czasu zwrotu odpowiedzi. Występuje w sytuacjach, gdy ustawienie i wyszukiwanie obejmują co najmniej 1 punkt, ale nie jest to punkt końcowy.
Pismo
ustawione morze
Rozszyfrowanie
nos
Kończy dodawanie nazw domen DNS z listy wyszukiwania domen DNS do zapytania.
morze
Dodaje do żądania nazwy domen DNS z listy domen DNS. Podobne zadanie zostanie wykonane do czasu zwrotu odpowiedzi.
(pomoc|?)
Używane w celu wystawienia informacji referencyjnych.
Nslookup: ustaw listę srch
Wprowadza zmiany w nazwie domeny DNS i liście wyszukiwania, które są stosowane domyślnie.
Pismo
ustawić srchl[ jest]=nazwa_domeny
Rozszyfrowanie
Nazwa domeny
Określa nowe nazwy domyślnej domeny DNS i listy wyszukiwania. Dopuszczalnych jest maksymalnie 6 nazw. Oddziel je znakami specjalnymi (/).
(pomoc|?)
Używane w celu wystawienia informacji referencyjnych.
Nslookup: ustaw limit czasu
Zmienia początkowy interwał, podczas którego system ma czekać na odpowiedź na żądanie. Zakłada się, że podobną liczbę podaje się w sekundach.
Pismo
ustaw ti=liczba_sekund
Wyjaśnienie znaczeń
liczba_sekund
Ustawia liczbę sekund interwału oczekiwania. Jeśli nic nie wpiszesz, liczba zostanie ustawiona na 5.
(pomoc|?)
Używane w celu wystawienia informacji referencyjnych.
Nslookup: ustaw typ
Dostosowuje typ rekordu dla określonego zasobu
Pismo
ustaw ty= typ rekordu
Wyjaśnienie znaczeń
typ rekordu
Ustawia typ rekordu zasobu DNS. Jeśli nic nie określisz, zostanie podany typ A. Poniżej znajduje się tabela szczegółowo omawiająca istniejące opcje.
Ustawia adres IP urządzenia |
|
Ustawia wszystkie typy informacji |
|
Ustawia nazwę kanoniczną aliasu |
|
Ustawia identyfikator grupy dla tytułu |
|
Określa typ procesora i systemu operacyjnego używanego w urządzeniu |
|
Określa nazwę domeny skrzynki pocztowej |
|
Określa członka grupy pocztowej |
|
Zawiera informacje o określonej skrzynce pocztowej lub liście wysyłania wiadomości |
|
Określa nazwę domeny do zmiany nazwy poczty |
|
Określa wymiennik poczty |
|
Określa serwer nazw DNS dla określonego obszaru |
|
Podaje nazwę urządzenia, jeśli żądanie zawiera adres IP. W innych sytuacjach wyświetla wskaźnik do innych danych. |
|
Określa rekord początkowy dla zakresu DNS |
|
Wysyła informacje tekstowe |
|
Ustawia identyfikator użytkownika |
|
Wyświetla informacje o użytkowniku |
|
Zawiera opis istniejących usług |
(pomoc|?)
Używane w celu wystawienia informacji referencyjnych.
Nslookup: ustaw vc
Określa, czy podczas wysyłania żądań do serwera używać obwodu wirtualnego.
Pismo
ustawić [ NIE] w[ C]
Rozszyfrowanie
Określa, czy nigdy nie używać obwodu wirtualnego podczas wysyłania żądań do serwera.
W każdym przypadku ustanawia potrzebę wykorzystania obwodu wirtualnego podczas przesyłania żądań do serwera.
(pomoc|?)
Używane w celu wystawienia informacji referencyjnych.
Nslookup: zobacz
Wykonuje sortowanie i wyświetlanie wyników poprzednich poleceń ls, a także podpolecenia.
Pismo
pogląd nazwa dokumentu
Rozszyfrowanie
nazwa dokumentu
Określa nazwę dokumentu, który zawiera wyniki działań poprzednich zespołów ls, a także podpolecenia
(pomoc|?)
Używane w celu wystawienia informacji referencyjnych.
Na naszej stronie internetowej
DNS - USŁUGA NAZW DOMEN
program nslookup
Program nslookup (zwykle /usr/sbin/nslookup w systemie Unix) umożliwia jawne wyszukiwanie DNS. Na przykład:
%nslookup www.ibm.comWynik działania programu oznacza, że odpytano serwer maria.vvsu.ru (jego adres IP to 212.16.195.98) i otrzymano odpowiedź IP(www.ibm.com) = 204.146.18.33.
Przykład konwersji odwrotnej:
%nslookup 204.146.18.33 Serwer: maria.vvsu.ru Adres: 212.16.195.98 Nazwa: www.ibm.com Adres: 204.146.18.33Program nslookup działa także w trybie wiersza poleceń. Wymagane polecenia:
serwer [ nazwa_serwera_zapytania] lserwer [ nazwa_serwera_zapytania] zmień serwer DNS, do którego kierowane jest zapytanie, na przykład: serwer ns.kiae.su. Bez argumentu - ustaw serwer domyślny („twój” serwer). Wszystkie żądania (z wyjątkiem polecenia lserver - patrz następny akapit) są wysyłane do odpytywanego serwera, który jest aktualnie zainstalowany. Nslookup umożliwia bezpośrednie wysyłanie żądań do serwerów bezpośrednio odpowiedzialnych za daną strefę. Jeżeli odpowiedź nadeszła z serwera, który nie jest odpowiedzialny za strefę, dla której zażądano informacji o hoście (np. dane zostały pobrane z pamięci podręcznej), taka odpowiedź zostanie oznaczona jako „ odpowiedź nieautoryzowana".
serwer I lserwer różnią się tym przy zmianie serwera za pomocą polecenia serwer adres nowego serwera jest konwertowany przy użyciu bieżącego serwera i polecenia lserwer wykonuje tę samą konwersję, korzystając z domyślnego serwera zainstalowanego dla nslookup – „jego” serwera. Jest to ważne, gdy bieżący serwer z jakiegoś powodu nie odpowiada na żądania.
ustaw typ= typ danych skonfiguruj żądanie danych określonego typu. Na przykład:
>ustaw typ=NS >ibm.com
oznacza żądanie listy serwerów DNS odpowiedzialnych (autorytatywnych) za domenę ibm.com. (W tym przypadku żądanie musi składać się z nazwy domeny, a nie pojedynczego hosta.)
Możliwe typy:
- SOA (Start Of Authority) - nagłówek strefy,
- NS (Serwer nazw) - serwer DNS,
- A (Adres) - adres IP w przypadku podania nazwy domeny lub nazwa domeny w przypadku podania adresu IP (domyślnie wybrane),
- MX (Mail Exchanger) - procesor poczty,
- CNAME (Canonical Name) – nazwa kanoniczna,
- PTR (Wskaźnik) - żądanie odwrócenia strefy,
- ANY - wszystkie rekordy.
Więcej informacji na temat typów danych w bazie danych DNS można znaleźć w części 2 tego tematu, Konfigurowanie serwera DNS.
ustaw rekurencyjne wysyłanie zapytań rekurencyjnych (wybrane domyślnie).
ustaw norecurse wysyłanie zapytań iteracyjnych.
ustaw domenę= Nazwa domeny ustaw nazwę domeny, która będzie dodawana do niekompletnych nazw domen (domyślnie pobieranych z /etc/resolv.conf).
ustaw debugowanie, pokaż szczegółowo zawartość przychodzących odpowiedzi.
ustaw nodebug, anuluj, ustaw debugowanie (domyślnie anulowane).
set d2 pokaż szczegółowo zawartość wysłanych żądań.
set nod2 anuluj zestaw d2 (domyślnie anulowany).
set all pokazuje wartości wszystkich opcji.
ls Nazwa domeny wyświetlić listę hostów określonej domeny, na przykład ls vvsu.ru. Najpierw musisz przełączyć się na odpytywanie serwera odpowiedzialnego za domenę. Ze względów bezpieczeństwa niektóre serwery nie wykonują tego polecenia (przekazywanie baz danych stref jest zabronione - patrz pkt.
Możliwość odzyskania rekordów DNS TXT jest bardzo przydatna w wielu scenariuszach. W tym poście przyjrzymy się sprawdzaniu rekordu weryfikacji domeny TXT dla Office 365, a także pod kątem struktury ochrony nadawcy.
Oprócz rekordu MX mamy również możliwość udowodnienia własności domeny Office 365 za pomocą rekordu TXT. Dlaczego chcemy ręcznie sprawdzić te rekordy TXT pakietu Office 365? Zamiast na ślepo uruchamiać HCW i otrzymywać wiele błędów, możemy sprawdzić, czy obecny jest prawidłowy rekord. Może to pomóc w zapobieganiu MaxUriReached: tego samego identyfikatora URI nie można dołączyć do innego identyfikatora aplikacji w przypadku błędu jednodniowego, co omówiono w KB 3027942.
Konfigurując Sender Protection Framework (SPF) należy utworzyć, a następnie dodać rekord SPF do pliku zewnętrznej strefy DNS dla danej domeny. Obecnie jest to typ TXT. Umożliwia to zewnętrznym serwerom pocztowym wykorzystanie rekordu SPF i podjęcie inteligentnej decyzji w oparciu o to, kim jest nadawca.
Jeśli chcemy mieć pewność, że te rekordy są prawidłowe i dostępne w publicznym DNS możemy skorzystać z narzędzia nslookup. Jest to bardzo przydatne, jeśli nie mamy bezpośredniego dostępu do dostawcy DNS, ponieważ może on należeć do innego zespołu w organizacji.
Jeśli chcemy porozmawiać bezpośrednio z autorytatywnym serwerem, możemy to zrobić. Musimy tylko wiedzieć, kto to jest. W celu zapewnienia redundancji w strefie DNS powinny znajdować się co najmniej dwa autorytatywne serwery DNS. Chociaż możemy szukać rekordu SOA, powinniśmy zapytać o rekord serwera nazw (NS).
Zwróć uwagę, że typem zapytania jest teraz NS, co oznacza „Serwer nazw”.
Teraz wiemy, że dla tailspintoys.ca domeny, nazywane są dwa autorytatywne serwery DNS ns78.domaincontrol.com I ns77.domaincontrol.com, możemy zapytać ich bezpośrednio. Adresy IPv4 dla tych serwerów nazw to:
ns77.domaincontrol.com 216.69.185.49
ns78.domaincontrol.com 208.109.255.49
Uwaga na poniższym zrzucie ekranu, gdy kierujemy bezpośrednio te konkretne serwery nazw, nie ma wzmianki o nieautorytatywnym.
Odniesienie do SPF
W skrócie: Microsoft ma wiele zasobów SPF. Poniższy kreator SPF pomaga w konstruowaniu zawartości rekordu SPF.
Aktualizacja 17.11.2016 — Wygląda na to, że kreator SPF firmy Microsoft poszedł drogą dinozaurów... Przyjrzyj się innym dostępnym narzędziom...
Wszystkie rekordy SPF składają się z trzech części: deklaracji, że jest to rekord SPF, domen i adresów IP, które powinny wysyłać wiadomości e-mail, oraz reguły egzekwowania. Potrzebujesz wszystkich trzech w prawidłowym rekordzie SPF. Oto przykład najpopularniejszego rekordu SPF dla Office 365:
Nazwa TXT @ Wartości: v=spf1 include:spf.protection.outlook.com include:sharepointonline.com -all
Nie kopiuj po prostu powyższego rekordu SPF do swojej strefy DNS. Musisz zaplanować prawidłowe wdrożenie SPF.
Problemy z zapytaniami DNS
Poniżej wymieniono niektóre problemy, na które możesz się natknąć. Nie jest to lista wyczerpująca.
Problem nr 1 – Użyj protokołu IPv4
Jeden z moich europejskich kolegów zauważył, że ma problemy z NSlookup. Widzieli poniżej, gdzie każde wyszukiwanie informowało, że upłynął limit czasu żądania DNS.
To było dziwne. Netmon nigdy nie kłamie. Kiedy jednak wąchałem ruch z mojego laptopa z systemem Windows 10 i maszyny wirtualnej z systemem Windows Server 2012 R2, w kablu nie było widać żadnych pakietów.
Aby rozwiązać ten problem, uzyskaj adres IPv4 serwera DNS i użyj go konkretnie w poleceniu serwera. Pokazano to poniżej.
Zagadnienie nr 2 – Nie gniewaj bogów wrażliwych na wielkość liter
W systemie Windows jest bardzo niewiele rzeczy, w których rozróżniana jest wielkość liter. Z tego powodu mamy tendencję do nieostrożności przy uwzględnianiu wielkości liter. Skorzystaj z poniższego przykładu, próbując ustawić typ zapytania:
Należy pamiętać, że typ zapytania Q in jest pisany wielkimi literami. To musi być napisane małymi literami. Tak. Naprawdę.
Duża żółta strzałka (czy jest wystarczająco duża?) pokazuje, że opcja robocza jest napisana małymi literami.
Problem nr 3 – Uważaj na urządzenia buforujące
W wielu lokalizacjach wdrożono urządzenia buforujące DNS, które mogą, ale nie muszą, spełniać standardy RFC. Godne pożałowania i dość powszechne jest stwierdzenie, że niektóre urządzenia buforujące DNS całkiem szczęśliwie ignorują wartość TTL rekordu DNS i buforują go przez kilka dni. Tak, to się zdarza. Weźmy poniższy przykład. To jest napisane z poczekalni lotniska w Kanadzie, która obsługuje Glenfiddich. Chociaż ilość spożytego single malta nie ma nic wspólnego z błędami ortograficznymi w tym poście!
W poniższym przykładzie kierujemy uwagę na autorytatywny serwer nazw dla domeny tailspintoys.ca. Pamiętaj jednak, że otrzymujemy tylko nieautorytatywną odpowiedź.
Porównaj to z uruchamianiem dokładnie tych samych poleceń z maszyny wirtualnej na platformie Azure bez żadnych sztuczek związanych z DNS:
To rzeczywiście autorytatywne odpowiedzi!
Wydanie nr 4 – Wożąc mnie Dotty
Diabeł tkwi w szczegółach, a czasami także w kropkach. Zauważ, że w poniższym przykładzie, gdy pytamy o Outlook.Office365.com do zapytania dołączony jest sufiks wyszukiwania DNS komputera lokalnego.
Porównaj powyższe zapytania (podkreślone na czerwono) z poniższym zrzutem ekranu. Jaka jest różnica? Zwróć uwagę, że poniższe zapytanie ma kropkę na końcu. To mówi nslookup, aby nie dołączał sufiksu domeny.
Alternatywnie możemy powiedzieć nslookup, aby nie dodawał sufiksu DNS, określając nie szukaj opcja. Pokazano to poniżej. Zwróć uwagę, że po wyszukiwanym haśle nie ma kropki „ Outlook.Office365.com”.
nslookup to najbardziej wszechstronne narzędzie, którego można używać w różnych sytuacjach, w tym do rozwiązywania problemów. Może pracować w dwóch trybach. W trybie nieinteraktywnym nslookup zachowuje się podobnie do narzędzia hosta omówionego powyżej. Można jednak uzyskać znacznie więcej korzyści z interaktywnego korzystania z nslookup. W tym trybie można uzyskać najbardziej szczegółowe informacje o zdalnych komputerach i domenach, gdyż za pomocą opcji można określić, jakie informacje mają być pobierane z bazy DNS. Podstawowy format polecenia nslookup to:
nslookup [-opcja...] ]
Jeśli w wierszu poleceń określisz parametr Host-to-find, nslookup będzie działać w trybie nieinteraktywnym i zwróci odpowiedź na żądanie w mniej więcej tej samej formie, co narzędzie hosta. Jeśli nie podano żadnych argumentów lub pierwszym argumentem jest łącznik (-), wówczas nslookup zostanie uruchomiony w trybie interaktywnym. Jeśli to konieczne, możesz użyć argumentu -server, aby określić inny serwer DNS, gdzie serwer jest adresem IP żądanego serwera DNS. W przeciwnym razie nslookup domyślnie wybierze serwer DNS ustawiony w pliku /etc/resolv.conf.
Istnieją trzy sposoby zmiany ustawień nslookup. Po pierwsze, możesz ustawić opcje w wierszu poleceń wraz z poleceniem nslookup. Po drugie, możesz określić je w interaktywnym wierszu poleceń nslookup za pomocą polecenia set. Po trzecie, możesz utworzyć plik .nslookuprc w swoim katalogu roboczym $HOME i określić w nim żądane parametry, po jednym w każdym wierszu. Listę parametrów, których można użyć z poleceniem nslookup, podano w tabeli. 4.6.
Parametr | Opis |
---|---|
Wszystko | Wyświetla aktualne wartości parametrów |
klasa | Ustawia klasę DNS (domyślnie = IN) |
odpluskwić | Włącza/wyłącza tryb debugowania (domyślnie = nodebug) |
d2 | Włącza/wyłącza tryb pełnego debugowania (domyślnie = nod2) |
domena = nazwa | Ustawia domyślną nazwę domeny |
srchlist=nazwa1/nazwa2.. . | Zmienia domyślną domenę na nazwa1 i przeszukuje listę nazwa1/nazwa2.. . |
nazwa_definiowana | Dodaje domyślną nazwę domeny do komponentu żądania |
szukaj | Dodaje nazwy domen na liście do nazwy hosta (domyślnie = szukaj) |
port=wartość | Zmienia numer portu TCP/UDP (domyślnie = 53) |
typ zapytania=wartość | Zmienia typ żądanego rekordu (domyślnie = A) |
typ=wartość | Taki sam jak typ zapytania. |
powtórzenie | Nakazuje serwerowi nazw wysłać zapytanie do innych serwerów w celu uzyskania odpowiedzi (domyślnie = cyklicznie) |
ponowna próba=liczba | Ustawia liczbę ponownych prób żądania w przypadku niepowodzenia odpowiedzi (domyślnie = 4) |
korzeń=host | Zmienia nazwę serwera głównego na host o nazwie Host (domyślnie = ns.internic.net) |
limit czasu = liczba | Zmienia limit czasu odpowiedzi na wartość równą liczbie (domyślnie = 5 sekund) |
vc | Zawsze używaj łańcucha wirtualnego (domyślnie = novc) |
ignorować itp | Ignoruj błędy podczas obcinania pakietu (domyślnie = noignoretc ) |
Listing 4.6 przedstawia przykładową sesję nslookup, która żąda informacji o hoście www.linux.org. Żądanie z domyślnymi parametrami dla określonej nazwy po prostu zwraca odpowiedni adres IP. Nasz przykład pokazuje zmianę parametrów wyszukiwania serwerów pocztowych dla danej domeny.
1 $ nslookup 2 Serwer domyślny: ns1.isp.net 3 Adres: 10.0.0.1 4 5 > www.linux.org 6 Serwer: ns1.isp.net 7 Adres: 10.0.0.1 8 9 Odpowiedź nieautorytatywna: 10 Nazwa: www.linux.org 11 Adres: 198.182.196.56 12 13 > set type=MX 14 > www.linux.org 15 Serwer: ns1.isp.net 16 Adres: 10.0.0.1 17 18 Odpowiedź nieautorytatywna: 19 www.linux preferencja .org =20, wymiennik poczty = router.invlogic.com 20 preferencja www.linux.org =30, wymiennik poczty = border-ai.invlogic.com 21 preferencja www.linux.org = 10, wymiennik poczty = mail.linux .org 22 23 Wiarygodne odpowiedzi można znaleźć w: 24 serwer nazw linux.org = NS0.AITCOM.NET 25 serwer nazw linux.org = NS. inwlogika. com 26 router.invlogic.com adres internetowy = 198.182.196.1 27 border-ai.invlogic.com adres internetowy = 205.134.175.254 28 mail.linux.org adres internetowy = 198.182.196.60 29 NS0.AITCOM.NET adres internetowy = 208.234. 1.34 30 Adres internetowy NS.invlogic.com = 205.134.175.254 31 > wyjdź 32 $ Listowanie 4.6. Przykładowa sesja nslookup
Linia 5 tworzy żądanie dla hosta o nazwie www.linux.org. Linie 6 i 7 pokazują serwer DNS, który przetwarza to żądanie, a linie 9-11 pokazują, że serwer udziela nieautorytatywnej odpowiedzi na temat adresu IP. Oczywiście ktoś miał już dostęp do tego samego hosta i jego adres IP był przechowywany w pamięci podręcznej lokalnego serwera DNS. Linia 13 ustawia parametr żądający informacji o serwerach pocztowych dla danej domeny. Linie 18–30 wyświetlają informacje otrzymane z serwera DNS. Linie 18–21 to w zasadzie sekcja odpowiedzi pakietu DNS, która sygnalizuje, że odpowiedź nie jest autorytatywna, i dalej pokazuje trzy serwery pocztowe odpowiedzialne za dostarczanie poczty e-mail do hosta www.linux.org. Linie 23–30 pokazują odpowiedź urzędu i dodatkowe informacje z pakietu DNS. Zatem linie 23–25 pokazują dwa autorytatywne serwery DNS dla domeny linux.org, które zawierają oryginalne rekordy dla www.linux.org. Linie 26–30 wyświetlają dodatkowe informacje o adresach IP hostów zawarte w odpowiedziach. Ten przykład można nieco rozszerzyć, ustawiając domyślny serwer DNS na jeden z serwerów autorytatywnych (za pomocą polecenia serwer) i ponownie wysyłając zapytanie do rekordów MX. Teraz porównaj, czy otrzymana informacja różni się od tej samej informacji wydanej przez nieautoryzowany serwer DNS.