什么是DNS授权？

在回答我之前的问题时，我注意到了以下几行：

通常，大多数家庭用户设置都破坏了授权的最后阶段。他们已经完成了通过注册商/服务提供商购买域名的过程，但是随后却无法配置该域名以将委派指向自己的域名服务器。实际上，您必须告诉域名服务商您的域名服务器在哪里，然后他们才能将粘合记录放到适当的位置，以使您的授权工作开始进行。

什么是DNS委派？它是如何工作的？对假设域的完整解释abc.com将很有帮助。

从物理上讲，委派与经理将任务职责委派给员工的方式非常相似。结果是相同的，但是该过程涉及一个以上的人。经理收到工作请求，将责任转移给另一名员工，该员工或经理要么返回工作结果。所有这些前提是该员工所做的工作实际上是正确的，并且是原始请求者所要求的（或者该请求者实际上首先要求的是有效的东西！）。

使用DNS委派，它非常相似。当要求com名称服务器提供寻找区域权限的位置时example.com，它们通常将这项工作委派给单独的名称服务器（实际上，在大多数情况下，它们确实将响应委派给其他名称服务器）。当您首次注册域名（例如我们的example.com域名）时，通常是通过称为注册商的第三方来完成的。注册服务商通常将其名称服务器放入委派中，并从这些名称服务器提供默认区域。此默认区包括基本要求，以满足该区域的互联网（在上SOA，NS并且A关联到这些NS记录的记录）。

显然，如果您自己想控制域名的权限，则必须要求注册服务商将域名委托给您的域名服务器。不同的注册商在处理过程中会以不同的方式引用此信息，例如“更改名称服务器”，“使用第三方DNS”，“添加胶水记录”等等。下方的机制保持不变。您提供的，一般2个或多个“名称服务器名称”（例如ns0.example.com和ns1.example.com）和IP地址在此ns0和ns1是。然后，他们处理请求，并且将委派从您的注册服务商指向您提供的名称服务器。

用技术术语来说，这时您必须确保您的名称服务器已启动并正在运行，并为域提供服务example.com，并至少具有SOA（授权开始记录），1个或多个NS记录以及A这些NS记录的记录（IP）从以下位置解决：

example.com.   IN SOA ns0.example.com. hostmaster.example.com. ( 10 3600 900 604800 7200 )
           IN NS  ns0.example.com.
           IN NS  ns1.example.com.
ns0        IN A   192.0.2.8
ns1        IN A   192.0.2.44

（我为SOA值，NS记录的名称和这些名称服务器解析的IP选择了一些任意值）。这些都必须反映您所服务的区域。

此DNS服务必须在Internet上的任何位置都可见，并且不进行防火墙保护（即必须允许端口53 udp和tcp inbound）。此外，您的服务提供商也不得阻止该端口（某些提供商确实会阻止发往这些端口的入站流量）。

由于我原来相比，com域名服务器是DNS管理者，谁是委托区域example.com的名称服务器（工作人员）做提供基本的区域信息的工作（SOA，NS，A）。您还可以提供任何其他记录，例如邮件服务器记录，MX或者可以是A您的www.example.com地址记录。

如果该名称服务器不起作用，返回错误结果，或有第三方（防火墙/ ISP）阻止该工作，则您将没有有效的DNS，并且委派中断。

这也可能是值得注意的是，域没有在同一个域中委托给域名服务器，所以ns0.example.net并ns0.example.org可以都谁能够有效的域名服务器example.com委托给他们。只要这两个名称服务器都为example.com域提供服务。

就DNS而言，委派是指您上方的层次结构中的名称服务器将以响应方式答复对域的每个请求NS。

因此，如果abc.com您愿意：

$ dig com.
=>
com.        896 IN  SOA a.gtld-servers.net.  ...

然后查询该名称服务器专门用于abc.com：

$ dig abc.com @a.gtld-servers.net.
=>
;; AUTHORITY SECTION:
abc.com.    172800  IN  NS  sens01.dig.com.
abc.com.    172800  IN  NS  sens02.dig.com.
abc.com.    172800  IN  NS  orns01.dig.com.
abc.com.    172800  IN  NS  orns02.dig.com.

胶水记录意味着，除了名称服务器的主机名之外，.com授权机构还知道其IP地址。

如果胶水记录设定，上面的查询会也给你A/AAAA每个域名服务器的响应。

在您的域内，您可以根据需要定义主机，例如mymailserver。要连接到您的邮件服务器，我需要使用DNS来确定其IP地址，为此，我需要知道应该在名称树中的何处查找mymailserver。

听起来很复杂，但这正是我们使用“完全限定域名”（FQDN）的目的。如果您mymailserver在域中定义主机，则abc.com.该主机具有FQDN mymailserver.abc.com.。利用该信息，我可以将该名称解析为正确的IP地址。

您不必创建表单的所有宿主<hostname>.abc.com.，也可以根据需要分支。例如，您可以拥有servers.abc.com.并放置所有服务器mymailserver.servers.abc.com.。您可以这样做，因为域abc.com.是委派给您的。这意味着您有权要求任何以abc.com.。结尾的域名和域名。因此，您可以根据自己的喜好定义主机和分支子域。

委派意味着域所有者可以完全控制对他人的分支。就像com.将子域委派abc.com.给您的所有者一样，您可以分支出子域，例如def.abc.com.将其委派给我。在我的域内，我可以执行/定义我想要/喜欢的任何事情，而不必询问或告诉您甚至com.所有者。

它是如何工作的？您只需在DNS记录中放入一条信息，即“有关def.abc.com请向DNS服务器询问的信息hisdnsserver.def.abc.com.”。当然，要查询该服务器，需要知道的IP地址hisdnsserver.def.abc.com.。这就是胶水记录的用途。您实际上放置了2条信息，一条信息是刚刚说的，另一条信息是的IP地址hisdnsserver.def.abc.com.。这样，您就可以向任何人提出有关def.abc.com.足够信息的问题，以将其指向该子域的权限。

为什么程序会首先询问您def.abc.com.？因为您是的权限，abc.com.并且的权限为com.请求者提供了关于yourdnsserver和abc.com....的两条信息。