【YD通讯标准】 域名系统授权体系技术要求

ICS 35.100.70
中华人民共和国通信行业标准
YD/T2136-2010
域名系统授权体系技术要求
Technical specifications of DNS delegation2010-12-29发布
2011-01-01实施
中华人民共和国工业和信息化部发布前
范围·
2规范性引用文件，
3．米语、定义和缩略语
3.1术语和定义·www.bzxz.net
3.2缩略语·
4授权体系的技术要求
4.1投权层次
4.2NS记录的一致性
4.3权威服务器的要求
4.4MX记录要求
SOA记录要求
4.6权威域及其WWW主机对应A记录的要求CNAME记录要求
4.8DNAME记录要求
HTYKAONIKAa-
YD/T 2136-2010
YD/T 2136-2010
本标准是“域名系统运行技术规范体系”系列标准之一，该系列标准的结构和名称预计如下：《域名系统运行总体技术要求》1
《域名系统权威服务器运行技术要求》2)
《域名系统递归服务器运行技术要求》3)
《域名服务安全框架技术要求》《IPv6网络城名服务技术要求》《域名系统授权体系技术要求》（公共域名解析系统安企标准》7
《域名系统安全防护技术要求》8
《域名系统安企防护检测要求》9）
本标准出中国通信标准化协会提出并归口。本标准起草单位：国互联网络信息中心北龙中网（北京）科技有限责任公司本标准主要起草人：李晓东、王伟、金键、张跃冬、卢文哲、孙国念。1范围
域名系统授权体系技术要求
YD/T2136-2010
本标准规定了域名服务的基本概念、企球域名系统架构，规定了域名系统授权体系的技术要求。本标适用于域名系统。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引文件，仅注日期的版本适用于本文件。凡是不注口期的引用文件，其最新版本（包括所有的修改单）适用于本标准。IEIFRFC1034域名系统—概念和基础设施IETF RFC 1035
IETF RFC 1912
IETF RFC 2142
域名系统的实现和详述
常见的DNS操作和配置错误
通用服务，角色和功能的邮箱名域名系统规范说咀
IETFRFC 2181
IETF RFC 2672
2非终点DNS名字重定向
3术语、定义和缩略语
3.1术语和定义
下列术评和定义适合于本文件。3.1.1域名
域名是域名系统名字空间中，从当前节点到根节点的路径上所有节点标记的点分顺序连接，如图1中对应的域名“cnnic.cn.”。在本标准中，域名的范围包含了由数字、英文字母及连接符（“”）等ASCI编码组成的英文域名，以及由非ASCI编码的字符组成的国际化域名（IDN）两大范畴，比如.中国.网络.公司等。3.1.2域
域是指域名系统名字空问中的一个子集，也就是树形结构名字空间中的一棵子树。这个子树根节点的域名就是该域的名字，如图1中灰色圆圈所示的域“net.cn”。DNS树上的每一个节点都有一个标识（Label），根节点的标识是“空”（即长度为0），其他节点的标识的长度在1到63字节之间。一个节点的域名是由从这个节点到根节点的路径上的所有标识从左到右顺序排列组成的，标识之间用“，”分隔。3.1.3顶级域
顶级域是指域名系统名字空间中根节点下最项层的域。顶级域分为国家及地区代码顶级域（CounLyCode Top Levei Domain,ccTLD）、通用类别顶级域（Generic Top Level Domain,gTLD）和和行业类别顶级域（sponsoredTopLevelDomain，sTLD）等三种不同类型。如图1最_上方是DNS树形结构中唯一的一个根（Root），用点号“”表示。根的下一级称为顶级域（TopLevel Dumain，TLD），也称一级域。顶级域的下级就是二级域（Second Level Domain，SLD），二级域的下级就是三级域，依次类推。每个1
HTYKANIKa-
YD/T 2136-2010
域都是其上级域的子域（Sub Domain）其中“cn”为中国顶级域，“com”、“net”，“arpa”均为通用类别项级域。
图1域名系统名字空间结构图
域名系统的分布式管理是通过逐级授权实现的。授权（Delegation），就是指将子域的管理授权给某-个特定的组织或机构,其记录信息就直接出该组织或者机构所管理的权威服务器进行存储和解析。域名系统里的NS记录,就是用来做授权的，向下授权。3.2缩略语
下列缩略语适用于本文件。
Country Code Top Level DomainCanonical Name
Non-Terminal DNS Name RedirectioDomain Name System
Generic Top Level Domain
Internet Protocol
Mail Exchanger
Name Server
Resource Record
Start of Authority
Transmission Cantrol ProtocolTop Level Domain
User Datagram Protocol
4授权体系的技术要求
4.1授权层次
国家及地区代码类别顶级域
别名记录
非终端DNS名重定向记录
域名系统
通用类别项级域
因特网协议
邮件交换记录
名字服务器
资源记录
起始授权记录
传输控制协议
顶级域
用户数据报协议
为有效地管理域名空间，根管理机构对TLD授权，TLD管理机构再对下级域名授权，整个域名空间及相应的授权形成了一个授权体系，如图2所示。互联网域名体系的根由ICANN负责管理。根区的维护由L4NA（由ICANN负责运行的机构）负责。具体的根服务器运营是由12个机构（公司或组织）分别负责13个根。其中A根（A.Root-Servers.Net）为主服务器，其余12个根（B根（B.Root-Servers.Net）-M根（M.Root-Servers.Net））为辅服务器。2
图2域名授校体系
YD/T2136-2010
CCTLD一般由各个国家或地区的网络信息1心（NIC）负费管理和维护。如CN由CNNIC负贵，DE中DENIC负责：gTLD：般由公司（如Verisign公司）、非营利性机构（EDUCAUSE、PIR）或美国政府部门（如GOV的管理单位）负责
如果需要修改根服务器中的某个TLD的授权的NS或A记录，其具体流程为：·TLD的联系人通过电子邮件按熙规定的尊通文本格式（模板为http:/iana.org/cctld/cctld-template.txt）[向[email protected]提交请求：·对川广的服务器进行技术检查： LANA检查：
提交ICANN委员会审查：
由Verisign完成操作：
。验证、生效。
4.2NS记录的一致性
为保证域名解析过程的正确完成。作为授权而使用的NS记录必须保持一致，即在区中的NS记录在服务器数量，名字工均应与在上级域校威服务器中的NS记录完全一致例如：
在根服务器中，CN域的NS记录为：在CN域的权威服务器A.DNS.CN、B.DNS.CN、C.DNS.CN、D.DNS.CN、E.DNS.CN和NS.CERNFT.NETH，CN域的NS记录为
HTYKANKAca
YD/T2136-2010
数的：
8888888
.......
CNIGOOINNSNSCEFNNE
根服务器授权给下一级，即CN域，且根服务器的CN的NS记录和CN域的NS记录需要一效。4.3权威服务器的要求
为保证权威服务器提供稳定可靠的服务，权威服务器不应该提供递归服务。NS记录应该符合正TFRFC1035的规定，其所指问的服务器为合法的主机名。权威服务器的IP地均应该使用合法的互联网地址。并确保以任何互联网地址可以访问服务器的UDP和TCP的53端口同一区的所有权威服务器在响应对NS记录的请求时，应该返回相同的结果。司一区的权威服务器的数量至少成为2台，以确保解析服务的可靠性，权就服务器的最大数量应该保证在响应对所服务区的NS记录的查询时，包含NS记录和粘着记录（A记录和AAAA记录）的响应包的大小限制在512字节以内，即在不使用AAAA记录时，权威服务器的数量上限不应该超过13；在每个服务器都便用AAAA记录时，权威服务器的数量上限不该超过8。为同一区提供解析服务的多个权威服务器的IP地址应该分布在不同的网络中，依照所需达到的服务水乎，建议为：分布在不同的自治域内以及地理上尽最进行分布式部署。4.4MX记录要求
MX记录应该符合IETFRFC1035的规定，其所指向的邮件服务器为合法的主机名。邮件服务器的正地址应该使用合法的万联网地划。并确保以任何万联网地址可以访问邮件服务器的TCP25端口。可以为权威域配置多MX记录，可根据优先级值进行选择。MX记录所指向的邮件服务器应该配置相应的正确的反向解析记录。4.5SOA记录要求
SOA记录应该符合IETFRFC1035的规定。以下的时问单位都是秒。SOA记录中的参数定义如下，
。主服务器（MNAME)，是当前区的数据源服务器。，负责人邮箱（RNAME），当前区负责人的邮箱，并将“@”替换为“\，以域名方式存放，在原@”之前的\\均替换为\”。最佳实践是为DNS操作定义个专/川的邮件别名\hostmaster\见IEIFRFC2I42序列号（SERIAL）：32位无符号整数，川于主辅更新时确定区的新旧版本。刷新问隔（REFRESH)：32位无符号整数，辅服务器每两次检查主服务器的SOA记录之问的时问问隔。建议值为1200~43200，即20min~12h。重试问隔（RETRY)：32位无符号整数，辅服务器不能访问上服务器，就会在这个吋间之后重试。建议值为300-7200，即5min~2h，并且小于刷新间隔值。争过期时问（EXPIRE)：32位无符号整数，辅服务器在持续多长时间内无法联系到主服务器时，仍然保持其数据为有效。建议值为1209600~2419200，即2~4周。最小值（MINIMUM）：32位无符号整数，否定缓存时间，光资源记录的缺省缓存时间，建议值为3600~10800，即1~3h。避免递归服务器短期内重复发出无效查询。4.6权威域及其WWW主机对应A记录的要求权威域及其WWW主机对应的A记录应该符合正ETFRFC1035的规定。并且其IP地址应该使月合法的互联网地址。并确保以任何互联网地址可以访问到Web服务器。4
4.7CNAME记录要求
YD/T2136-2010
CNAME记录,应该符合IETF RFC 1034、IETF RFC 1035、IETF RF C1912和IETF RFC 2181的规定,其所指问的域名为合法的域名。CNAME记录不能和.其他类型的记录同时出现（与DNSSEC相关的RRSIG记录和NSEC记录除外）。应当谨慎使H指向其他CNAME记录的CNAME记录。因为有可能造成无限循环的CNAME记录链，如：
UOTNCAE
ersncco
4.8DNAME记录要求
DNAME记录应该符合正TFRFC2672的规定。一旦某个节点有了DNAME记录，其子树上的任何节点都不应该再有任何记录。即：现果有了下面这条DNAME记录：
asrieonmaspncc
就不应该再有下面这条A记录：
应当避免在使用DNAME记录时造成命名循环。即避
4.9实例
以下的例子展示了cnnic.cn的授权体系的关记录，在cn 域（cnnic.cn 域的.l级域）的权威服务器（a.dns.cn,）中有如下记录：3
准 cnnic.cn域的权威服务器（a.cnnic.cn）中有如下记31
HTYKANIKa-
888888
YD/T 2136-2010
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。