[technique] Glue record pour alsace.tetaneutral.net / restrictions Verisign net/com

[Laurent GUERBY]

Bonsoir,

tetaneutral.net met a disposition d'Alsace Réseau Neutre
http://arn-fai.net/  une VM alsace.tetaneutral.net 
qui va être utilisée pour faire du DNS/MX secondaire.

Guillaume précise ci-apres une restriction peu connue
des registres Verisign net et com.

J'ai ajouté via l'interface de notre registrar gandi.net
un glue, il n'est pas encore établi mais ça va venir

$ dig NS tetaneutral.net @h.gtld-servers.net

Sincèrement,

Laurent

-------- Original Message --------
Subject: Glue record pour alsace.tetaneutral.net
Date: 2013-08-25 05:02
 From: Guillaume LUCAS

Bonjour les toulousains,

Désolé, ça va être un peu long : j'ai évoqué le sujet sur IRC avec 
guerby mais il n'a pas semblé comprendre les tenants et aboutissants de 
ma démarche et m'a conseillé d'écrire ici. Donc là je détaille tout bien 
comme il faut. :P

Je voudrais que TTNN rajoute un glue record pour 
alsace.tetaneutral.net, le nom qui pointe sur la VM qu'ARN a échangé 
avec TTNN. Comme vous avez fait, via votre registrar, pour 
ns0.tetaneutral.net, ns2.tetaneutral.net et ns3.tetaneutral.net, juste 
là, ça sera alsace.tetaneutral.net. :)

L'idée c'est qu'on puisse déclarer alsace.tetaneutral.net comme 
secondaire pour arn-fai.net. Pour l'instant, à chaque essai :
- si je mets ns0.arn-fai.net, ça passe.
- si je mets ns0.arn-fai.net et ns1.nimportequellezone.(fr/info/...) ça 
passe.
- si je mets ns0.arn-fai.net et alsace.tetaneutral.net, ça ne passe pas : 
error 2003.
- si je mets ns0.arn-fai.net et ns1.nimportequellezone.(net|com), ça 
ne passe pas : error 2003.

Or, l'erreur 2003 est une erreur renvoyée par le registre, pas par le 
registrar et elle est relative à un glue record manquant. Voir : 
<http://wiki.gandi.net/fr/domains/troubleshooting/required-parameter-missing#pour_les_domaines_en_com_net_org>.

Vous allez me dire : « quel rapport ? un glue record, ça sert à casser 
une référence circulaire comme « A ns0.arn-fai.net ? » -> « je sais pas, 
demande à ns0.arn-fai.net qui fait autorité sur la zone arn-fai.net ». 
Je sais bien.

En temps normal, ça ne pose pas de problèmes : je peux très bien dire : 
le serveur qui fait autorité sur mazone.fr, c'est ns0.monautrezone.fr., 
le serveur qui fait autorité sur mazone.info, c'est monautrezone.info, 
...

Après quelques recherches, il s'avère que Verisign, le registre de 
com/net, veut aussi un glue dans le contexte où, pour mazone.net, on 
veut un serveur qui fait autorité en ns.autrezone.(net|com). On trouve 
une illustration concrète ici : 
<http://groups.gandi.net/fr/topic/gandi.fr.domaine.dns/19733>.

Le comportement est le même avec Public Interest Registry, registre de 
org. Pour s'en convaincre, voir le résultat d'un « dig 
@a0.org.afilias-nst.info. NS ffdn.org » : on obtient les A/AAAA de 
(ns0|ns1).fdn.org qui pourtant sont out-of-zone.

La seule raison que je vois, c'est que ça permet à Verisign de diminuer 
la charge sur ses serveurs (avec un glue, un récursif-cache ne viendra 
pas demander « A alsace.tetaneutral.net ? » qui entraînerait une réponse 
« je ne sais pas va voir ns0.tetaneutral.net qui a telle IP et qui aura 
la réponse » car il a déjà la réponse. Sans glue, le récursif-cache 
viendra demander.

Je sais qu'il est possible de faire autrement : on crée un RR NS 
vmttnn.arn-fai.net (par exemple), on met les bons RR A/AAAA, on déclare 
un glue pour vmttnn.arn-fai.net et l'on pourra déclarer 
vmttn.arn-fai.net comme secondaire pour arn-fai.net.

Mais, vu que les FAI asso, c'est aussi pour apprendre et découvrir, et 
vu que je n'avais jamais entendu parler de cette contrainte imposée par 
Verisign (je n'ai jamais eu la gestion d'un domaine en net. ou com. il 
faut dire) , je préférerais que TTNN positionne un glue record. Cela 
permettrait de documenter pour ceux qui ignorent cette contrainte.

Voili voilou.

Merci à vous.