¿Por qué debería uno tener un servidor DNS secundario?


26

Estoy muy confundido.

Básicamente entiendo cómo funciona DNS. Aquí hay un ejemplo que ayuda a ilustrar lo que tengo problemas para entender.

En este momento, ejecuto un pequeño servidor web. Uso el administrador de DNS de mi proveedor, por lo que no tengo un servidor DNS alojado en la máquina.

Digamos por un segundo que no uso el DNS de mi host, y decido configurar un servidor DNS en mi servidor. Escenario hipotético: mi servidor (completo) se cae - DNS incluido. ¿Por qué necesito DNS de respaldo? Si el servidor está inactivo, a quién le importa si el servidor DNS también está inactivo, teniendo en cuenta que incluso si tuviera DNS activado (no estaba en el servidor bloqueado), no podría reenviar solicitudes de todos modos ya que el servidor estaría ¿abajo?

¿Es el punto de tener un DNS secundario para poder cambiar las direcciones IP a las que apunta su servidor DNS, por lo que si su servidor web no funciona, puede redirigir el tráfico a una copia de seguridad? ¿Cómo cambiaría al proveedor secundario, en caso de que su proveedor DNS principal no esté disponible? ¿Es un sistema DNS de respaldo básicamente todo el tiempo? ¿Cómo se configura? ¿Es solo un clon exacto del servidor DNS que tendría en su servidor? ¿Corren simultáneamente?

Espero que alguien pueda ver en qué estoy colgado y proporcionar alguna orientación.


Respuestas:


26

El punto principal para tener un servidor DNS secundario es como respaldo en caso de que el servidor DNS primario que maneja su dominio se caiga. En este caso, su servidor aún estaría activo y, por lo tanto, sin tener una copia de seguridad, nadie podría llegar a su servidor posiblemente costándole muchos clientes perdidos (es decir, DINERO REAL).

Un servidor DNS secundario siempre está activo y listo para servir. Puede ayudar a equilibrar la carga en la red, ya que ahora hay más de un lugar autorizado para obtener su información. Las actualizaciones generalmente se realizan automáticamente desde el DNS maestro. Por lo tanto, es un clon exacto del maestro.

En general, un servidor DNS contiene más información que un solo servidor, puede contener información de enrutamiento de correo, información de muchos hosts, claves de correo no deseado, etc. Por lo tanto, la resistencia y la redundancia son de DEFINITIVO beneficio para los titulares de dominio.

Espero que esto ayude a tu comprensión.


Aunque generalmente en los servidores de correo en estos días, si un registro MX no se resuelve, el mensaje se pone en una cola para volver a intentarlo en lugar de rechazarlo por completo, por lo que si su servidor de correo y / o el registro DNS MX caen, debería estar de acuerdo una perspectiva de correo ... ¡pero todavía atornillado de cualquier otra manera!
William

13

Es el punto de tener DNS secundario

Solo las organizaciones extremadamente pequeñas pueden hacer todo en un solo servidor. Tengo muchos servidores, quiero que mi correo electrónico pueda seguir funcionando aunque el servidor web esté inactivo. Tengo servicios alojados en redes externas que quiero mantener, incluso si mi enlace de Internet estaba caído.

¿Es un sistema DNS de respaldo básicamente todo el tiempo?

Generalmente.

¿Cómo se configura?

Depende del software del servidor DNS, pero generalmente en el 'servidor de respaldo', lo configura como secundario. Luego, indica en la IP del servidor maestro y las zonas que desea replicar.


11

Es un deber de la RFC. Ver http://www.ietf.org/rfc/rfc1035.txt

Para citar las cosas importantes de la página 4:

El DNS requiere que todas las zonas sean compatibles de forma redundante con más de un servidor de nombres. Los servidores secundarios designados pueden adquirir zonas y buscar actualizaciones del servidor primario utilizando el protocolo de transferencia de zona del DNS.


10

Los servidores DNS de respaldo (uno o más) serán esclavos de su servidor DNS primario. Los esclavos recogerán los cambios en el servidor DNS primario. Esto puede hacerse periódicamente o en respuesta a una notificación del servidor primario. Esta es una de las causas de los retrasos en los cambios de DNS que se reconocen en Internet. Sus servidores de nombres principales y de respaldo se enumerarán como servidores de nombres para su dominio.

Antes de que el DNS lo notifique, los servidores de nombres esclavos tendrían una versión anterior de los datos del DNS por algún período de tiempo. (Este es uno de los propósitos del número de serie). Una vez que todos los servidores de nombres se hayan actualizado a la misma versión (mismo número de serie), todos deberían tener los mismos datos. Editar un archivo de zona sin incrementar el número de serie puede causar datos inconsistentes.

No hay cambio a los servidores DNS de respaldo. Las solicitudes de DNS se distribuyen en todos sus servidores de nombres de manera relativamente uniforme. (Esto se realiza al consultar los servidores utilizando un programa de turnos). Si uno o más servidores de nombres están inactivos, las solicitudes se volverán a intentar en otro servidor de nombres después de un tiempo de espera. Mientras uno de sus servidores de nombres esté activo, su dominio se resolverá (lentamente a veces). Desea tener todos sus servidores de nombres siempre activos.

En su caso, puede encontrar que es más sencillo usar su ISP o registrador de dominio para alojar su dominio. Tendrán uno o más servidores de nombres de respaldo y tendrán recursos dedicados para mantenerlos en funcionamiento.


Si todo lo que ejecuta es un servidor web, un DNS secundario puede no parecer tan importante. Sin embargo, cuando su servidor está inactivo, existen varias razones por las que puede desear un servidor DNS de respaldo, que incluyen:

  • para permitirle hacer ping o traceroute a su host para verificar que está inactivo.
  • para evitar que los usuarios y rastreadores decidan que su dominio ya no se usa.

Si su dominio recibe o envía un correo electrónico, necesita un DNS de respaldo para establecer su credibilidad y garantizar la entrega futura del correo electrónico. Si un servidor de correo busca su dominio y encuentra que no existe, inmediatamente rebotará su correo electrónico. Sin embargo, si las búsquedas de DNS tienen éxito y el servidor está inactivo, el correo electrónico se pondrá en cola para su posterior entrega. Solo si está inactivo durante unos días, su correo electrónico comenzará a rebotar. (Algunos sistemas de entrega automatizados con mal comportamiento lo intentan solo una vez y pueden fallar en la entrega de mensajes incluso si su servidor está activo).


1

No necesita cambiar a la copia de seguridad es automática. Si una solicitud de DNS para un nombre dentro de su dominio llega tan lejos como la consulta (recuerde que el DNS está muy afectado) a sus servidores, entonces si su servidor NS primario no responde, se consultará al servidor NS secundario.

Si aloja su DNS lejos del servidor que aloja los servicios que proporciona, entonces tener 2 es sensato. Si una falla, la otra se recuperará y su dominio aún estará disponible.


He leído bastantes comentarios que indican que muchos servicios de almacenamiento en caché de DNS del mundo real (como los utilizados por ISP) no vuelven a intentar usar un servidor de segundo nombre, simplemente fallan si el primer servidor no responde. Por ejemplo, esta respuesta en serverfault . En ese caso, si tiene dos servidores de nombres separados, debe asegurarse de que ambos estén activos, ya que cualquiera de los dos puede estar inactivo para los dominios alojados. Esto va en contra de la práctica común y los RFC, pero parece preocupante.
thomasrutter

1

Además de lo anterior:

Además del hecho de que RFC requiere un segundo servidor DNS, también es bueno evitar el almacenamiento en caché negativo por parte de los solucionadores anteriores. Es común almacenar en caché el hecho de que la solicitud no coincide con ningún registro (NXDOMAIN) / no se pudo encontrar el servidor DNS.

Como algunos ISP tienen políticas de almacenamiento en caché poco comunes, es mejor tener un segundo servidor DNS que responda a esas solicitudes incluso si el servidor web está inactivo. De esta forma, puede evitar los efectos del almacenamiento en caché negativo una vez que el servidor vuelve a funcionar.

Nota: En general, un intervalo neg-cache de máx. Se sugieren 5 minutos (sin embargo, algunos ISP obtuvieron valores realmente locos)


1

Tienes razón: no necesitas un tercero secundario en tu situación, y te ofrecerá algunas mejoras, siempre que todos tus otros servicios (incluido el correo) todavía estén alojados en una sola caja en una sola red.

Sí, tanto el primario como el secundario se ejecutan uno al lado del otro; se supone que ambos tienen la misma información (pero la coherencia de la información no está garantizada en la práctica); desde el punto de vista de un extraño, no hay diferencia entre el servidor primario y el secundario, ambos se ven igual, generalmente, solo se usa uno para una resolución determinada. Si uno está abajo, el otro se prueba. Sería una mala idea tener uno de los servidores en Tokio, si todos sus clientes están en Nueva York, porque aumentará la latencia de la resolución promedio (por ejemplo, algo malo), ya que los servidores son bastante Mucho elegido al azar.

La especificación DNS parece requerir que se proporcionen al menos dos registros NS para un dominio, por lo tanto, es posible que encuentre algunos resolvers que no resuelven un nombre si de alguna manera logra configurar solo un registro NS para su dominio.

DJB, el autor de djbdns, proporciona una buena visión general de los conceptos erróneos de un servicio DNS secundario de terceros:

http://cr.yp.to/djbdns/third-party.html

Tengamos una cita resumida de la página:

La conclusión es que, para la gran mayoría de los sitios, el servicio DNS de terceros tiene costos serios y beneficios insignificantes, al igual que el servicio HTTP de terceros y el servicio SMTP de terceros. Las afirmaciones de las compañías de servicios son exageradas y nunca deben usarse como un sustituto del sentido común.


-6

en realidad, en gran parte del mundo, el servidor DNS de respaldo nunca es consultado si el primario falla. porque es un paso extra para el resolutor. no quiere hacer ese trabajo, y no lo hará.

entonces la copia de seguridad nos es inútil. si el primario se cae, la consulta dns de los usuarios no devolverá nada (incluso si hay un servidor DNS completamente bueno disponible y aparece en el registro de nombres y los servidores de reserva en espera). el usuario para obtener un servidor no encontrado.

intentalo.


55
Realmente no sé de qué estás hablando, realmente no pareces entender cómo funciona DNS. Su máquina cliente debe apuntar a un servidor DNS de almacenamiento en caché, no a un servidor autorizado para una zona. Todos los servidores de servidores DNS comunes que conozco intentarán acceder a otros servidores de nombres si el primario no está disponible con la configuración predeterminada. Puede no fallar si uno de los servidores DNS está configurado incorrectamente.
Zoredache
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.