Está tendo um servidor de nomes não disponível em SOA ou NS RRs para uma zona prejudicial?

1

Normalmente, executamos com dois servidores de nomes, ns1 e ns2 como um mestre-escravo, para os domínios que servimos. Temos alguma manutenção planejada que pode afetar um ou ambos, então estamos planejando adicionar um ns3 hospedado em outro lugar.

Teríamos que adicionar ns3 às origens de todos os domínios que servimos. No entanto, não precisamos necessariamente manter ns3 em execução o tempo todo.

Há algum mal em ter um servidor de nomes em seu SOA / NS, que está praticamente indisponível? Isso resultará em alguns servidores de nomes acreditando que um domínio está inativo ou demorando mais para encontrá-lo?

    
por Marcus Downing 30.09.2016 / 13:07

1 resposta

3

Se um servidor de nomes é nomeado na delegação, ele é um candidato para seleção por um resolvedor. Se você tiver três servidores de nomes nomeados na delegação, podemos esperar que cada um receba cerca de 1/3 do tráfego, supondo que todos os três estejam on-line.

Se um deles estiver off-line, esse é 1/3 do tráfego necessário:

  1. ser reconhecido como não sendo respondido pelo servidor para o qual foi direcionado, e
  2. ser reenviado para um servidor diferente

Esse processo desacelerará a resolução de nomes, porque o # 1 deve ser concluído antes que o segundo passe.

Os resolvedores geralmente reconhecem após algum tempo que um servidor de nomes não está respondendo e pode muito bem filtrar as consultas para ele em resposta. Ao fazer isso, só será investigado ocasionalmente. Isso e como esses resolvedores respondem quando é detectado como voltando on-line, é estritamente falando detalhes de implementação dos resolvedores. Resolvedores simples podem continuar tentando em todas as consultas.

Nomeando na delegação, um servidor de nomes que você saiba que estará, na maioria das vezes, off-line, é contraproducente na melhor das hipóteses e hostil ao usuário, na pior das hipóteses.

Uma abordagem melhor, assumindo que você não pode ir com algo como um IP multicast para seu DNS autoritativo, provavelmente reduziria os TTLs em seu autoritativo ns1 e ns2 A e AAAA RRs, e altere os endereços IP nesses RRs conforme necessário para direcionar o tráfego para onde você quer que ele vá. Lembre-se de fazer o mesmo com os RRs PTR correspondentes, especialmente se esses servidores fornecerem outros serviços. (O DNS é amplamente insensível à correspondência de mapeamento de nome de encaminhamento / reverso, mas outros serviços podem ser muito seletivos. Trabalhe de acordo.) A resolução do primeiro nome para cada resolvedor ainda pode ser lenta (porque pode endereço IP antigo dos registros de delegação), mas essa situação deve se resolver assim que obtiver uma resposta autoritativa com os endereços IP atualizados.

    
por 30.09.2016 / 13:20