<div dir="ltr"><br clear="all"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature">--<br>Mariano Absatz - El Baby<br><a href="http://www.clueless.com.ar" target="_blank">www.clueless.com.ar</a><br><br></div></div><br><br><div class="gmail_quote"><div dir="ltr">On Tue, 4 Dec 2018 at 09:50, John W.O'Brien <<a href="mailto:obrienjw@upenn.edu">obrienjw@upenn.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Duane,<br>
<br>
Thank you for chiming in on this. This information is convergent with<br>
what I've been learning via off-list responses and from tech support<br>
contacts at various organizations.<br>
<br>
A thing that is still causing me some grinding of gears---and this feels<br>
like I may be wandering into unknowing-n00b territory---is the use of<br>
the term "glue records" in this context. This is a Verisign business<br>
logic-based process step, not a DNS protocol-based one. Right?<br></blockquote><div><br></div><div>Hi John,<br>
<br>
"glue record" /is/ a DNS protocol-based term (and an old one indeed).<br>
<br>
You need a glue record when you do in-zone delegations, for example, if<br>
you want to delegate the domain <a href="http://example.com">example.com</a> to <a href="http://ns1.example.com">ns1.example.com</a> and<br>
<a href="http://ns2.example.com">ns2.example.com</a> if it weren't for the glue records you get yourself into<br>
a chicken-and-egg problem.<br>
<br>
If you just put the delegation (NS) records in the .com authoritative<br>
servers, a resolver querying any of those about <a href="http://www.example.com">www.example.com</a> would<br>
get a response with AUTHORITY set to <a href="http://ns1.example.com">ns1.example.com</a> and <a href="http://ns2.example.com">ns2.example.com</a>.<br>
<br>
Then the resolver tries to resolve <a href="http://ns1.example.com">ns1.example.com</a> and, querying the<br>
.com name servers it gets a response with AUTHORITY set to<br>
<a href="http://ns1.example.com">ns1.example.com</a> and <a href="http://ns2.example.com">ns2.example.com</a>.<br>
<br>
To find out the IP address of <a href="http://ns1.example.com">ns1.example.com</a> you first need to know the<br>
IP address of <a href="http://ns1.example.com">ns1.example.com</a>. Not good.<br>
<br>
<br>
Glue records are "A" or "AAAA" records for a child (delegated) zone that<br>
you put in the parent zone regardles that the parent has no longer<br>
authority on the now delegated zone. Even when these records are not<br>
authoritative in the parent server, they allow you to break the circle.<br>
<br>
In this case, in the .com zone you'd put the "A" and "AAAA" records for<br>
<a href="http://ns1.example.com">ns1.example.com</a> and <a href="http://ns2.example.com">ns2.example.com</a>. For this to happen, you must inform<br>
your registrar about the IP addresses of your in-zone name servers. It's<br>
not a Verisign specific issue. Any registry or registrar should allow<br>
for glue records.<br>
<br>
<br>
Given your specific case, my guess is that Verisign may be overzealous<br>
requiring anyone to register any authoritative name server within their<br>
TLDs that serves any domain within their TLDs.<br>
<br>
If uphs{1,2,3}.<a href="http://uphs.upenn.edu">uphs.upenn.edu</a> are *not* used to serve anything under<br>
<a href="http://upenn.edu">upenn.edu</a> glue records are not needed.<br>
<br>
What's more, if uphs{1,2,3}.<a href="http://uphs.upenn.edu">uphs.upenn.edu</a> were to serve <a href="http://uphs.upenn.edu">uphs.upenn.edu</a>,<br>
you could place glue records for these servers in the <a href="http://upen.edu">upen.edu</a> name<br>
servers (assuming the name servers for <a href="http://upenn.edu">upenn.edu</a> are not within<br>
<a href="http://uphs.upenn.edu">uphs.upenn.edu</a>), but my guess is that Verisign is overzealous just to<br>
prevent you from shooting your own foot (that is you, me or any DNS<br>
administrator).</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
I have succeeded in delegating a .org name to a name server in each of<br>
the .edu and .net domains, and a .net name to a .org NS, and a .com name<br>
to a .us NS, and none of the receiving servers are registered. What then<br>
is the purpose of the consistency checks among COM, NET, and EDU from<br>
Verisign's perspective? Is there any possibility of relaxing or removing<br>
them? What harm is prevented that names and name servers in other TLDs<br>
remain susceptible to?<br>
<br>
On 2018/12/03 16:55, Wessels, Duane wrote:<br>
> John,<br>
> <br>
> .com, .net, and .edu share the same backend registry database.  The message that you're getting when attempting to register the .net and .com domains is saying that there should be glue records for uphs{1,2,3}.<a href="http://uphs.upenn.edu" rel="noreferrer" target="_blank">uphs.upenn.edu</a> in that shared database.<br>
> <br>
> So you would have to go to your .edu registrar and add these hosts under the <a href="http://upenn.edu" rel="noreferrer" target="_blank">upenn.edu</a> account in order to make it work.<br>
> <br>
> DW<br>
> <br>
> <br>
> On 12/3/18, 10:35 AM, "dns-operations on behalf of John W.O'Brien" <<a href="mailto:dns-operations-bounces@dns-oarc.net" target="_blank">dns-operations-bounces@dns-oarc.net</a> on behalf of <a href="mailto:obrienjw@upenn.edu" target="_blank">obrienjw@upenn.edu</a>> wrote:<br>
> <br>
>     Good day DNS Operators,<br>
>     <br>
>     I am having some trouble making uphs{1,2,3}.<a href="http://uphs.upenn.edu" rel="noreferrer" target="_blank">uphs.upenn.edu</a> authoritative<br>
>     for a number of domains in net and com. The registrar claims that the<br>
>     name servers have to be "registered" but doesn't appear to provide a<br>
>     mechanism for doing so. There is already appropriate glue in edu for the<br>
>     <a href="http://upenn.edu" rel="noreferrer" target="_blank">upenn.edu</a> NS, and in <a href="http://upenn.edu" rel="noreferrer" target="_blank">upenn.edu</a> for the <a href="http://uphs.upenn.edu" rel="noreferrer" target="_blank">uphs.upenn.edu</a> NS, and they are<br>
>     all happily answering queries for those domains. I'm struggling to<br>
>     understand what it means to be registered and how to do it.<br>
>     <br>
>     Could someone wiser than I in the ways of registrars and TLD operators<br>
>     shed some light on my predicament?<br>
<br>
<br>
-- <br>
John W. O'Brien<br>
University of Pennsylvania<br>
OpenPGP key ID:<br>
    0xD97D135B02EC753B<br>
<br>
_______________________________________________<br>
dns-operations mailing list<br>
<a href="mailto:dns-operations@lists.dns-oarc.net" target="_blank">dns-operations@lists.dns-oarc.net</a><br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>
dns-operations mailing list<br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>
</blockquote></div></div>