DNS Server Slave - registro NS no mestre?

Navegue suas respostas
1

Estou configurando um sistema DNS básico com um servidor mestre (1.1.1.1) e um servidor escravo (2.2.2.2) para o domínio "example.com".

Eu não sei se devo adicionar o registro NS no servidor master para o servidor slave como este exemplo: 

; Records in MASTER server 1.1.1.1
; name servers
  IN  NS     ns1.example.com. ; DNS Int 1 - MASTER
  IN  NS     ns2.example.com. ; DNS Int 2 - SLAVE

; glue records
  ns1       IN  A      1.1.1.1  ; name server definition MASTER
  ns2       IN  A      2.2.2.2  ; name server definition SLAVE

Qual é a diferença em adicionar, ou não, o registro NS para o servidor escravo? Eu entendo que o registro NS significa que os servidores lá são autoritativos para o domínio, "example.com" neste caso. Mas, se eu não adicionar o registro NS para o servidor mestre, eu ainda obteria respostas autoritativas do escravo, já que ele é uma informação de zona do mestre.

Então, qual é a diferença?

Obrigado!

    
por Gero 09.07.2015 / 04:00

2 respostas

1

Dado o seu exemplo, há duas perguntas que precisam ser respondidas aqui.

Preciso de vários servidores de nomes?

Sim. Mil vezes sim. Se um servidor de nomes autoritativo para o seu domínio não puder ser acessado, ele desaparecerá da Internet. Você deve ter vários servidores de nomes e eles devem ser geo-redundantes, ou seja, localizados em locais físicos diferentes.

  • O hardware do servidor é interrompido. É inevitável.
  • Desastres no nível do site acontecem. Incêndios, inundações, terremotos, surtos elétricos, etc. Seus servidores DNS não devem estar fisicamente no mesmo local para serem resistentes a desastres não planejados.
  • Problemas de roteamento acontecem. Se todos os seus servidores DNS compartilharem um par upstream comum, eles desaparecerão da Internet quando esse par passar por uma interrupção total. Quando ocorrem problemas de roteamento entre essas redes remotas específicas e pares, todos os seus servidores ficam indisponíveis para dispositivos remotos que estão por trás desse caminho de roteamento. Ter vários servidores que não compartilham um peer upstream torna você significativamente mais resiliente a problemas de roteamento upstream de todos os tipos.

Qual é a diferença entre listar um mestre e um escravo nos registros NS?

Da perspectiva de um cliente DNS, não há diferença alguma. Do ponto de vista de um administrador de servidor, é uma prática recomendada apenas expor os servidores escravos à Internet e ter um mestre "oculto" com o qual apenas os servidores escravos e suas redes privadas possam se comunicar.

  • O tempo de inatividade do mestre não afeta sua redundância na Internet. Os escravos podem ser desconectados do mestre por um bom tempo sem que haja efeitos negativos. O período máximo de tempo é determinado pelo campo expiry no registro SOA de cada zona hospedado nos escravos.
  • Menos erros são expostos à Internet voltada para os servidores de nomes. É improvável que os principais problemas de sintaxe se propaguem sobre as transferências de zona. Mesmo se você cometer um erro tão significativo que resulte no processo de servidor de nomes auto-final, ou domínios inteiros sendo descarregados , o pior que acontece com os escravos é que eles perdem brevemente contato com o mestre. Os clientes não notam nada.
  • Benefícios de segurança. Se o mestre estiver comprometido, as mudanças podem ser enviadas a todos os servidores escravos por um invasor. Se um servidor escravo for comprometido, as alterações só poderão ser feitas nesse servidor. (claro, se você deixá-los em um servidor, as chances são boas de que os outros tenham explorações semelhantes nas quais podem confiar ... mas o perfil reduzido ainda não faz mal)
por 09.07.2015 / 16:10
1

Sim, você deve adicionar registros NS para todos os seus servidores DNS no seu arquivo de zona.

Você deve poder perguntar a todos os seus servidores DNS: "quais são os servidores DNS por exemplo.com"

Por exemplo: 

$ host -t NS google.com
google.com name server ns3.google.com.
google.com name server ns1.google.com.
google.com name server ns2.google.com.
google.com name server ns4.google.com.

$ host -t NS google.com ns1.google.com
Using domain server:
Name: ns1.google.com
Address: 216.239.32.10#53
Aliases: 

google.com name server ns3.google.com.
google.com name server ns2.google.com.
google.com name server ns1.google.com.
google.com name server ns4.google.com.
    
por 09.07.2015 / 08:51

Tags

Fazendo upload da minha própria VM do Azure Configure o StrongSwan para funcionar com o DHCP