$Id: glue.html 2 2003-11-01 18:23:02Z lb $

Glue, oder Leimschnüffeln für Änfänger

Das ist der Moment, wo ihr schreien dürft: "Noch komplizierter?"
Jap, jetzt wirds nämlich richtig eklig, und wir kommen zu einem Thema das selbst DNS-Admins ins grübeln bringen kann. Am besten kann man dieses Thema mit Beispielen erklären:

Delegation mit Glue

; <<>> DiG 9.2.2 <<>> hubermonsch.ch @NS.APNIC.NET.
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47051
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;hubermonsch.ch.                        IN      A

;; AUTHORITY SECTION:
hubermonsch.ch.         43200   IN      NS      ns1.v-1.ch.
hubermonsch.ch.         43200   IN      NS      ns2.v-1.ch.

;; ADDITIONAL SECTION:
ns1.v-1.ch.             43200   IN      A       157.161.114.35
ns2.v-1.ch.             43200   IN      A       157.161.114.36

;; Query time: 432 msec
;; SERVER: 203.37.255.97#53(NS.APNIC.NET.)
;; WHEN: Tue Apr 29 17:39:47 2003
;; MSG SIZE  rcvd: 104

Dieses Query dürfte jedem von euch bekannt vorkommen. Wie ihr seht, liefert uns Switch die IP Adressen der Vision One Nameserver gleich mit. Um also mehr über hubermonsch.ch müssen wir lediglich eine Anfrage an diese IP Adressen schicken. Dies ist eine Delegation mit Glue und damit gut.
Frage: Wieso darf Switch uns die A RR's für ns1.v-1.ch. mitteilen?

Delegation ohne Glue

; <<>> DiG 9.2.2 <<>> aol.ch @NS.APNIC.NET.
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55301
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 0

;; QUESTION SECTION:
;aol.ch.                                IN      A

;; AUTHORITY SECTION:
aol.ch.                 43200   IN      NS      ns2.ascio.net.
aol.ch.                 43200   IN      NS      ns1.ascio.net.

;; Query time: 417 msec
;; SERVER: 203.37.255.97#53(NS.APNIC.NET.)
;; WHEN: Tue Apr 29 17:44:49 2003
;; MSG SIZE  rcvd: 69

Dies ist eine eine Delegation ohne Glue (glueless), und das ist nicht gut[tm].
Was fehlt in dieser Antwort? Genau, die Additional Section. Wieso? Weil die ch. Nameserver einen SOA von ch. haben, und damit keine Antworten für irgendwas.net. herausgeben dürfen.

Wo ist nun das Problem mit einer Delegation ohne Glue? Um mehr über aol.ch. müssen wir erst die A RR's von ns2.ascio.net herausfinden. Und dafür darf man erstmal die Root-Server, und dann die net. TLD Server anfragen. Sprich, eine Gluess Delegation braucht einiges mehr an Zeit.
Frage: Was passiert, wenn die NS RR's für ascio.net. auf ns1.aol.ch zeigen?

Wieso ist Glueless schlecht?

Langsam
Loopbildung möglich

Wie mache ich eine Zone mit Glue?

Das ist relativ simpel: Die NS Records müssen einfach unterhalb der selben TLD wie die Zone liegen. d.h. für hubermonsch.ch. irgendwas.ch., für cnn.com. irgendwas.com..

Zusätzliches

Beachten sie, das alle RR's, die auf einen Namen zeigen (z.B. MX) glueless sein können. Auch hier sollte darauf geachtet werden, das solche Namen immer mit glue gemacht werden.