Veiledning: Navnetjenersjekker

Det gjøres noen navnetjenersjekker for å verifisere konsistent DNS-oppsett ved behandling av tre typer EPP-kommandoer:

  • domain create
  • domain update
  • host update – hvis hostnavn og/eller IP-addressene endres

EPP-kommandoen vil bli avvist dersom noen av disse basissjekkene feiler.

Domain create og domain update

Følgende sjekker gjøres for hver navnetjener som er registrert for domenet:

  • Hvis navnetjeneren ligger under domenet som sjekkes, slik at den har limpost i moderdomenet:
    • Navnetjeneren må være registert med minst én IPv4-adresse.
    • Navnetjeneren må svare på alle sine registrerte IPv4- og IPv6-adresser med A-poster og AAAA-poster som tilsvarer IPv4- og IPv6-adressene som er registrert på den, og bare disse adressene.
  • Hvis navnetjeneren ikke ligger under domenet som sjekkes, og dermed ikke behøver limpost i moderdomenet:
    • Navnetjeneren må ha én eller flere A-poster.
    • Navnetjeneren kan ha én eller flere AAAA-poster.

Følgende sjekker gjøres mot hver IPv4- og IPv6-adresse for hver av navnetjenerne som er registrert for domenet:

  • Domenet har NS-poster for alle navnetjenerne som er registrert for domenet, og bare disse navnetjenerne.
  • Domenet har en SOA-post som inneholder et gyldig mname, og et gyldig rname.
Følgende DNSSEC-spesifikke sjekker gjøres dersom domenet er registrert med minst én DS-post:
  • Alle de registrerte navnetjenerne må svare med et DNSKEY-sett for domenet. Alle navnetjenerne må svare med det samme DNSKEY-settet.
  • Alle de registrerte navnetjenerne må svare med RRSIG-poster for domenets SOA-post, NS-poster og DNSKEY-poster. Alle navnetjenerne må svare med de samme RRSIG-postene.
  • DNSKEY-settet må inneholde minst én nøkkel som er referert til fra DS-settet.
  • RRSIG-postene for DNSKEY-settet må inneholde minst én gyldig signatur som er laget med en av nøklene som er referert til fra DS-settet.
  • RRSIG-postene for SOA-posten må inneholde minst én gyldig signatur som er laget med en av nøklene i DNSKEY-settet.
  • RRSIG-postene for NS-settet må inneholde minst én gyldig signatur som er laget med en av nøklene i DNSKEY-settet.

Host update

Følgende sjekker gjøres dersom navnetjeneren ligger under et domene som den er navnetjener for, slik at den har limpost i moderdomenet:

  • Navnetjeneren må være registrert med minst én IPv4-adresse.
  • Navnetjeneren må svare på alle sine registrerte IPv4- og IPv6-adresser med A-poster og AAAA-poster som tilsvarer IPv4- og IPv6-adressene som er registrert på den, og bare disse adressene.

Følgende sjekker gjøres dersom navnetjeneren ikke ligger under et domene som den er navnetjener for, og dermed ikke behøver limpost:

  • Navnetjeneren må ha én eller flere A-poster.
  • Navnetjeneren kan ha én eller flere AAAA-poster.

Følgende sjekker gjøres mot hver IPv4- og IPv6-adresse til navnetjeneren:

  • Alle domenene som er registrert på navnetjeneren har NS-post for navnetjeneren.
  • Alle domenene som er registrert på navnetjeneren har en gyldig SOA-post.

DNSSEC-sjekker ble innført for ‘host update’ ved systemoppdateringen datert 2015-03-24. Følgende DNSSEC-spesifikke sjekker gjøres for hvert av domenene som er registrert på navnetjeneren:

  • Systemet utfører de samme sjekkene som er beskrevet over for domener, med den forskjellen at det kun er navnetjeneren som oppdateres som inngår i sjekken, og ikke de andre navnetjenerne som er registrert for domenet.

  • Merk også følgende begrensning:
    Sjekken kan i noen spesielle tilfeller konkludere med at ingen feil er funnet selv om det faktisk finnes en DNSSEC feil. Dette kan skje dersom det finnes kun DNSSEC-feil, og samtidig ingen andre typer DNS-feil.

Sist endret i 2015 eller tidligere