Fra gammelt til nytt registreringssystem - Norid

NORIDs registrysystem
Jarle Greipsland

Innhold
Kort om systemets oppbygning og virkemåte
Nyttige tilleggstjenester
Registrarweb, auto-test, sonesjekker
Vanlige uvanlige problemer
Fornying av domener
Autentisering av registrarer
Ymse annet
Tips for større DNS-endringer
Nytt registrysystem

Abonnent
Abonnent
Abonnent
Abonnent
Abonnent
Abonnent
Sammenhengen
Registrar
Registrar
Registrar
Hensikt: fungerende DNS
whois
registrarwebb NORIDs database
e−mail
DNS
info@norid.no
auto−reg@norid.no
Abonnentens ønsker reflekteres i DNS
DNS-data er teknisk vettuge
Oppdatert kontaktinformasjon
“Lukket system mtp. endringer”
sonefiler
DNS

Historikk
Før 1999-12: sammensurium av manuelle systemer
Første forsøk på automatisering
I begynnelsen liten støtte for administrativ oppfølging
Har fått et stort antall tilleggsfunksjoner
Men alderen begynner å merkes...

Objektmodell I
Samling informasjon, logisk gruppering
Har objekter for: organisasjon, person, rolle, registrar,
navnetjener og domene
Synlige data: navn, kontaktadresse, referanser til
andre objekter osv.
Usynlige data: versjonsnummer, historikk,
saksnummer, status
Objektene vedlikeholdes i fellesskap av registrarene og
Norid

P
P
P
Kontaktperson
BIFF1H−NORID
NAC1H−NORID
BENO1H−NORID
NN1H−NORID
SERV19H−NORID
Uninett hostmaster
UH1R−NORID
Objektmodell II
H
R
Navnetjenere
Teknisk kontakt
Sonekontakt
uninett.no
REG2−NORID
D
Juridisk kontakt
Organisasjon
Petter Kongshaug
PK60P−NORID
P
Organisasjons−
tilhørighet
Uninett AS
ORG26O−NORID
O

auto−reg@norid.no
MTA
Systemoppbygning
"Syntaktisk avslag"
Avslag
Avslag eller godkjenning
E−post
automat
Saks−
behandler
Robot
Ikke-søknader besvares ikke
E−post
arkiv
Sakskø
Database
Saksbehandler kan kun endre tilstand, ikke innhold
Roboten oppdaterer databasen

Sakstilstand
new wait
manual approve
deny
Midlertidige feil → spinn i wait-tilstand
Ny-registreringer godkjennes automatisk
closed
Endringer og slettinger godkjennes manuelt

Autentisering
PGP-signerte meldinger
Godtar alle PGP-nøkler tilknyttet registraren
multipart/signed (rfc3156) eller som tekst (rfc2440)

Avslag – syntaksfeil
Feilmeldinger I
Skjer før validering av PGP-signatur
Merk at roboten kun godtar søknader som text/plain
Tegnsett: us-ascii, iso-8859-1 eller utf-8
Ingen tegnsettangivelse → us-ascii
Blir feil hvis ikke-us-ascii tegn i meldingen!

Hva er en transient feil?
Transiente feil
Warning: Transient problems have been detected during application processi
Your application will be reevaluated in intervals of no less than
4 hours. See below for further details on the nature of the probl
NORIDs robot kan ikke avgjøre om noe er galt eller rett
Hva gjør jeg da?
Ikke send inn ny søknad!
Søknaden vil bli behandlet på ny
Ta kontakt med info@norid.no om en sak “henger seg
opp”

Domeneprosesser
Prosesser som går over lengre tid
Bestilt sletting
Fornying av registrering
Innhenting av egenerklæringer
Organisasjonen har “forsvunnet”

Bruk av data I
Norids bruk av registrerte data
Sonefiler (DNS)
Sonedata ekstraheres fra Norids database
Sonefiler genereres
Limposter kun om nødvendig, dvs. navnetjeneren
befinner seg innenfor delegert domene
Manuell kontroll av nye sonefiler, bl.a. diff mot
forrige versjon
Kopieres til navnetjeneroppsettet og lastes i master
navnetjener
Repliseres ut til alle slavenavnetjenerne
Whois-tjenesten bruker databasen som kilde

Bruk av data II
Norids bruk av registrerte data
Fakturering til registrarens fakturakontakt
Månedlig faktura for registrerte domener
Månedlig faktura for fornyede domener
Elektronisk kopi av faktura
Aktivitetsnivå for kontroll av minimumsaktivitet
Statistikk, http://www.norid.no/bakgrunn/statistikk.html

Registry
Norids infrastruktur
To identiske installasjoner: Oslo og Trondheim
Hver installasjon har:
En produksjonsmaskin (sed.norid.no)
En reservemaskin
Web-tjener www.norid.no
Registrarwebtjener registrar.norid.no
Navnetjenere for .no:
x.nic.no - USIT/UiO/Oslo
y.nic.no - Catch/Oslo
z.nic.no - NTNU/Trondheim
slave1.sth.netnod.se - Autonomica/Stockholm
not.norid.no, njet.norid.no - Tjeneste fra UltraDNS
Fortsetter arbeidet med å gjøre navnetjenesten for .no mer robust

whois-tjenesten
Whois-tjener på whois.norid.no, TCP port 43
Webgrensesnitt på http://www.norid.no/whois/
Ratebegrensing
Tung last på selve databasen
Ønsker å forhindre “data mining”

Søppeltømming
Norid sletter ubrukte data
Søppeltømming av objekter som:
Er eldre enn 30 dager og
Ikke er referert på 30 dager
Ikke søppeltømming av:
Domener
Registrarer
Sender ikke ut varsler om disse slettingene

Nyttig informasjon
Q: Når behandler NORID søknader?
A: Cirka 0900 - 1600 på arbeidsdager
Q: Forventet responstid?
A: 0-3 arbeidsdager, normalt mindre enn 3
Q: Når genereres sonefilene?
A: En gang mellom 1600 og 1800 på arbeidsdager.
Q: Flytting av navnetjeneste for en kunde?
A: Ikke flytt tjenester og endre delegering i DNS
samtidig!
Q: Hvordan unngå vedlikeholdsproblem?
A: Ikke registrer duplikater
A: Ikke lag systemer som oppfordrer til duplikater

Noen flere tips:
Mer nyttig info
Bruk rolleobjekter hvis naturlig, f.eks. på
registrarobjekt:
Rolleobjekt for teknisk kontakt
Rolleobjekt for fakturakontakt.
Gjenbruk rolleobjekt som teknisk-/sone-kontakt for
domener hvis det passer.
Ikke lag sirkulære avhengigheter i DNS
domene.no NS ns1.domain.tld
domain.tld NS ns1.domene.no
Større endring av “noe”?
Norid kan utføre “bulkendringer” av domener
Kontakt info@norid.no!

Registrarwebben
Nyttige tjenester
auto-test@norid.no
Sonesjekker
http://www.norid.no/domenenavnbaser/zonecheck/
IDN-konvertering
http://www.norid.no/domenenavnbaser/ace/

Registrarweb I
Registrarspesifikk informasjon
Utsnitt av Norids registre
Whois-listinger, rå og bearbeidede, tekst og html
Data om fornying av registreringer
Registrerings- og årsavgiftsfakturaer
Oppdateres daglig

Registrarweb II
Eksempel 1 - tilknyttede domener
%
% Domains currently registered under REG2-NORID.
% (Updated: 2005-11-08 21:01:18)
%
% Number of domains: 1236
%
% Columns: domain name creation date
01lab.no 2001-05-10
18x18.no 2001-03-08
1lektor.no 2005-10-13
...
Nyttig for kontrollformål hos registraren
Kan brukes for å lage egne løsninger

Registrarweb III
Eksempel 2 - registrerte domener
% This list contains all domain registrations done by REG2-NORID.
[ ... ]
% Columns: domain name date comment
1lektor.no 2005-10-13 -
aag.vgs.no 1999-12-15 removed
abm-u.no 2002-10-03 transferred
Kontroll av egenerklæringsarkiv
Liste over overføringer finnes også

Fornyingsinformasjon
Registrarweb IV
Domener åpne for fornying i perioden
Også formattert på Norids fornyingsskjema
Registrerte fornyinger for perioden
Domener overført fra REG0-NORID
Domener overført til REG0-NORID

Registrarweb V
Andre lister:
Navnetjenere tilknyttet domenene
Organisasjoner med orgno 000000000
Organisasjoner som ikke lenger finnes
Whois-utlisting for alle objekter tilknyttet registraren
Aktivitetslogg
https://registrar.norid.no/
Kontakt info@norid.no for å få konto

Norids test-system
auto-test
auto-test@norid.no
Foretar syntakssjekk av søknader
Søknadsbehandling for det meste på auto-pilot
Registrarene kan teste egne systemer mot denne
Databasen er en kopi av produksjonsdatabasen
Oppdateres fra tid til annen

PGP-signering
Vanlige uvanlige problemer I
Forsvunnet e-post?
Fornying av registreringer
Bytte av navnetjenere

PGP-signering
De vanligste problemene er:
Ingen signatur
Signerer med feil nøkkel
“For nye” hash-algoritmer (f.eks. SHA-256)
-tegn på slutten av linje
Ekstra blanke tegn etter header-felter
Tegnsettkonvertering etter signering
Ombrekking av lange linjer etter signering
Manuell redigering etter signering ...
format=flowed

Forsvunnet e-post?
Har sendt e-post til auto-reg@norid.no.
Får ingen kvittering.
Registrarens MUA/MTA har satt:
Delivered-To: auto-reg@norid.no
NORIDs postkontor antar e-postløkke og dropper
meldingen.

Fornying I
To delvis koordinerte prosesser:
Registrar Faktura Faktura Faktura
Faktura
Innehaver
M0 M1 M2 M3 M4
Registreringsmåned
30 dager 30 dager 30 dager
Varsel1 Varsel2 Brev
Karantene Slettet
Abonnenten har to alternativer:
Registrar fornyer → OK
Domenet mister registrartilknytning → REG0-NORID
Tid

Fornying II
Registrar Faktura Faktura Faktura
Faktura
Innehaver
M0 M1 M2 M3 M4
Registreringsmåned
30 dager 30 dager 30 dager
Varsel1 Varsel2 Brev
Karantene Slettet
Norid tar seg av varslingsprosess
“Finn deg en registrar”
60 dagers frist
30 dager i karantene
Registreringen slettes
Tid

Starten av M0:
Fornying III
Faktura Faktura Faktura
Registreringsmåned
Faktura
M0 M1 M2 M3 M4
Norid lager tomt fornyingsinnslag for domener registrert i M1
Registrarer med autofornying (og som ikke er suspendert!) får
innslagene forhåndsutfylt med sin registrar-ID.
Registrarene registrerer fornyinger/kanselleringer:
Sende inn en eller flere fornyingsmeldinger
Overta registraransvaret (COI, TOD)
Må være nåværende registrar for å kunne fornye
Tid

I starten av M1:
Fornying IV
Faktura Faktura Faktura
Registreringsmåned
Faktura
M0 M1 M2 M3 M4
Domener registrert i M1 og ikke fornyet:
Norid setter registrar til REG0-NORID
Norid starter varslings-/slette-prosess
Domener registrert i M1 og fornyet:
Nåværende registrar får årsavgiftfaktura
I M1, M2, M3 og M4:
Fornying skjer ved å ta over registraransvaret fra REG0-NORID
Domenet blir med på førstkommende faktura til registraren
Ved fornying stanses slette-prosessen, evt. inn fra karentene
Tid

Litt statistikk
Fornying V
90%-95% av domenene fornyes
1-2 “registrarforglemmelser” per måned.
90+% fornyinger i måned 0
2-9% fornyinger i måned 1
0.5 - 1.5% i måned 2
0.2 - 1.0% i måned 3

Endring av navnetjenere I
.no-sonen .no-sonen
For eksempel:
Helt nye navnetjenere
Navnetjenerne flyttes/omnummereres
Norid endrer bare til korrekt konfigurert navnetjenere

Endring av navnetjenere II
.no-sonen .no-sonen
Få et ekstra bein å stå på
Bør ligge utenfor eget nett
Hele tiden, ikke bare under flytting
Kan angi flere master-navnetjenere:
zone "uninett.no" {
type slave;
file "sz/uninett.no";
masters { 158.38.0.167; 129.240.2.40; };
};

Endring av navnetjenere III
.no-sonen .no-sonen
Flytte siste navnetjener
Ikke flytt tjenestene samtidig som navnetjenesten
Ikke bruk navnetjenernavn som tjenestenavn

Kjente svakheter
System – videreutvikling
Varslingsadresse tilknyttet registrarobjektet
Registrarene vil “kicke ut” domener (→ REG0-NORID)
Systemet bruker for lang tid på en del ting
Mangler “exists-p” i whois
Noen savner ekstra data fra whois
Det vil bli minimalt med videreutvikling av dagens system

Nytt system I
Holder på med utvikling av nytt system
Skal kunne holde i 5-10 nye år
For .no, 7.4.e164.arpa? ...?
Full “trøkk” resten av 2006/hele 2007
EPP som primærgrensesnitt
Må utarbeide XML-skjema med Norids utvidelser
Vil ha SMTP-proxy i overgangsperiode
Støtte for nyere protokoller:
IPv6, DNSSEC, IRIS (whois-erstatning)

Nytt system II
Skal kunne kjøre 24x7x365
Hyppigere oppdateringer av DNS
Mer effektiv saksbehandling
Mer muligheter/ansvar til registrarene
Endring av rutiner/prosesser?
Endring av datamodell?
Tilleggsfunksjoner, bare i EPP-grensesnittet?
Trenger en registrarreferansegruppe
Tenker å bruke registrarforeningen

Spørsmål?