Executando um servidor DNS recursivo no host local

Acho que você precisa abordar isso de maneira diferente:

Qual problema você está tentando resolver?

Está executando um servidor DNS local a melhor solução para esse problema. Muitas vezes, tenho visto pessoas implantarem um servidor DNS local sem realmente justificar isso. Nesse caso, você adicionou outro serviço a ser mantido, outro vetor para ataque e outro link em sua rede pelo qual você é responsável.

Eu já vi servidores DNS locais implantados por boas razões. Por exemplo, eu vi casos em que os servidores DNS fornecidos pelo ISP têm muita latência. Rastreamos e medimos essa latência, até 800ms em alguns casos. A instalação de um servidor de cache local corrigiu essa latência.

Os servidores de e-mail foram atrasados pelos resolvedores de DNS públicos dos provedores. Ao instalar um servidor DNS local, esse problema foi resolvido.

Eu já vi a necessidade de resolver alguns domínios de maneira diferente na rede interna versus a rede externa, mais uma vez um servidor DNS local foi a resposta.

As soluções de TI são altamente dependentes do ambiente em que são implantadas.

O sistema DNS foi projetado para funcionar de forma mais eficiente com o cache regional através do seu ISP.
A menos que você tenha uma preocupação de segurança, ou os servidores DNS do ISP sejam de alguma forma limitados, você deve usá-los.

Se o seu ISP fornecer um servidor DNS recursivo que

1. É pelo menos tão confiável quanto seu link
2. Baixa latência (presumivelmente seria, provavelmente é muito próximo da sua rede)
3. está devidamente configurado e protegido

Depois, não há muitos benefícios significativos para resolver recursivamente suas consultas DNS.

Você pode configurar um servidor DNS para encaminhar consultas recursivas, em vez de resolvê-las, e simplesmente solicitar que essas solicitações sejam enviadas ao servidor do seu provedor. O que você ganha ao fazer isso é a capacidade de ter um cache atingido no servidor do seu ISP, o que pode economizar dezenas de milissegundos em muitas configurações típicas.

Existem muitas razões pelas quais você pode querer usar essa configuração - digamos, você pode estar executando zonas .local para o seu site (ou split-horizon no domínio do seu site), ou você pode querer ocultar certas zonas do DNS.

O que Chris S disse e performance. Se alguém está preocupado com a carga da CPU, você não sacrifica a velocidade da sua própria máquina.

Os servidores de nomes que recurse podem ser vulneráveis a ataques de envenenamento de cache - se esse servidor de nomes também for autoritativo para quaisquer domínios, ele poderá torná-lo vulnerável a alguns ataques desagradáveis de seqüestro.

Para minimizar essa ameaça, se você optar por operar um servidor recursivo, só deverá permitir a recursão de IPs do cliente sob seu controle.

Eu prefiro usar meu próprio servidor recursivo também, chris. É uma informação a menos que é prontamente dada a terceiros. O único serviço que eu gosto de usar um ISP é o uplink.

Chris S faz um bom argumento, no entanto. Se todo usuário final executasse um cache local, isso colocaria substancialmente mais carga de DNS na Internet.

Sequestro de DNS do Comcast

Eu executo um servidor DNS não recursivo com o Caching no Server 2012 e sempre o fiz para os meus clientes. Eu vejo um grande benefício no desempenho de "conhecer" informações do DNS na LAN local. Execute qualquer teste de DNS e você sempre verá que o DNS local é mais rápido. Um DNS recursivo ainda é uma questão de opinião ou configuração. Configurações menores não ganham nada fazendo suas próprias pesquisas recursivas e podem realmente atrasar as coisas. Talvez não seja a melhor resposta, mas você tem que testar o desempenho com sua conexão e host para ver se é mais rápido.