Pourquoi devrait-on avoir un serveur DNS secondaire?


26

Je suis très confus.

Je comprends essentiellement le fonctionnement du DNS. Voici un exemple qui aide à illustrer ce que j'ai du mal à comprendre.

En ce moment, je lance un petit serveur Web. J'utilise le gestionnaire DNS de mon fournisseur, donc je n'ai pas de serveur DNS hébergé sur la machine.

Disons une seconde que je n'utilise pas le DNS de mon hôte et que je décide de configurer un serveur DNS sur mon serveur. Scénario hypothétique: mon serveur (tout le serveur) tombe en panne - DNS inclus. Pourquoi ai-je besoin d'un DNS de sauvegarde? Si le serveur est en panne, peu importe si le serveur DNS est également en panne, étant donné que même si j'avais DNS en panne (il n'était pas sur le serveur en panne), il ne serait pas en mesure de transmettre les demandes de toute façon car le serveur serait vers le bas?

Est-ce l'intérêt d'avoir un DNS secondaire, pour pouvoir changer les adresses IP vers lesquelles pointe votre serveur DNS, donc si votre serveur Web était en panne, vous pourriez rediriger le trafic vers une sauvegarde? Comment basculeriez-vous vers le fournisseur secondaire, au cas où votre fournisseur DNS principal deviendrait indisponible? Un système DNS de sauvegarde est-il toujours en place? Comment est-il configuré? S'agit-il simplement d'un clone exact du serveur DNS que vous auriez sur votre serveur? Fonctionnent-ils simultanément?

J'espère que quelqu'un pourra voir ce que je raccroche et donner des conseils.


Réponses:


26

Le point majeur pour avoir un serveur DNS secondaire est la sauvegarde en cas de panne du serveur DNS principal gérant votre domaine. Dans ce cas, votre serveur serait toujours opérationnel, et donc sans sauvegarde, personne ne pourrait accéder à votre serveur, ce qui pourrait vous coûter beaucoup de clients perdus (c'est-à-dire REAL MONEY).

Un serveur DNS secondaire est toujours opérationnel et prêt à servir. Cela peut aider à équilibrer la charge sur le réseau car il existe désormais plus d'un endroit faisant autorité pour obtenir vos informations. Les mises à jour sont généralement effectuées automatiquement à partir du DNS maître. Il s'agit donc d'un clone exact du maître.

En règle générale, un serveur DNS contient plus d'informations qu'un simple serveur, il peut contenir des informations de routage du courrier, des informations pour de nombreux hôtes, des clés de courrier indésirable, etc.

J'espère que cela aide votre compréhension.


Bien qu'en général avec les serveurs de messagerie de nos jours, si un enregistrement MX ne résout pas le message est placé dans une file d'attente pour réessayer au lieu d'être rejeté, donc si vous êtes un serveur de messagerie et / ou un enregistrement DNS MX tombe en panne, vous devriez être d'accord une perspective mail ... mais toujours vissée de toutes les autres manières!
William

13

Est le point d'avoir un DNS secondaire

Seules les organisations extrêmement petites peuvent tout faire sur un seul serveur. J'ai plusieurs serveurs, je veux que mon e-mail puisse continuer à fonctionner même si le serveur Web est en panne. J'ai des services hébergés sur des réseaux externes que je veux garder en place même si ma liaison Internet était en panne.

Un système DNS de sauvegarde est-il toujours en place?

Habituellement.

Comment est-il configuré?

Cela dépend du logiciel du serveur DNS, mais généralement du «serveur de sauvegarde», vous le configurez comme secondaire. Ensuite, vous indiquez l'adresse IP du serveur maître et les zones que vous souhaitez répliquer.


11

C'est un must de la RFC. Voir http://www.ietf.org/rfc/rfc1035.txt

Pour citer les choses importantes de la page 4:

Le DNS nécessite que toutes les zones soient prises en charge de manière redondante par plusieurs serveurs de noms. Les serveurs secondaires désignés peuvent acquérir des zones et vérifier les mises à jour du serveur principal à l'aide du protocole de transfert de zone du DNS.


10

Les serveurs DNS de sauvegarde (un ou plusieurs) seront esclaves de votre serveur DNS principal. Les modifications apportées au serveur DNS principal seront récupérées par les esclaves. Cette opération peut être effectuée périodiquement ou en réponse à une notification du serveur principal. C'est l'une des causes des retards dans les modifications apportées au DNS qui sont reconnus sur Internet. Vos serveurs de noms principaux et de sauvegarde seront répertoriés comme serveurs de noms pour votre domaine.

Avant la notification DNS, les serveurs de noms esclaves disposeraient d'une version antérieure des données DNS pendant une certaine période. (C'est l'un des objectifs du numéro de série.) Une fois que tous les serveurs de noms ont mis à jour vers la même version (même numéro de série), ils doivent tous avoir les mêmes données. La modification d'un fichier de zone sans incrémentation du numéro de série peut entraîner des données incohérentes.

Il n'y a pas de basculement vers le ou les serveurs DNS de sauvegarde. Les requêtes DNS sont réparties sur tous vos serveurs de noms de manière relativement uniforme. (Cela est effectué en interrogeant les serveurs à l'aide d'un calendrier de tourniquet.) Si un ou plusieurs serveurs de noms sont en panne, les demandes seront réessayées sur un autre serveur de noms après un délai d'expiration. Tant que l'un de vos serveurs de noms est opérationnel, votre domaine se résoudra (parfois lentement). Vous voulez que tous vos serveurs de noms soient toujours actifs.

Dans votre cas, vous constaterez peut-être qu'il est plus simple d'utiliser votre FAI ou votre registraire de domaine pour héberger votre domaine. Ils auront un ou plusieurs serveurs de noms de sauvegarde et disposeront de ressources dédiées à leur fonctionnement.


Si tout ce que vous exécutez est un serveur Web, un DNS secondaire peut ne pas sembler si important. Cependant, lorsque votre serveur est en panne, il existe un certain nombre de raisons pour lesquelles vous pouvez souhaiter un serveur DNS de sauvegarde, notamment:

  • pour vous permettre d'envoyer une requête ping ou traceroute à votre hôte pour vérifier qu'il est arrêté.
  • pour empêcher les utilisateurs et les robots d'exploration de décider que votre domaine n'est plus utilisé.

Si votre domaine reçoit ou envoie des e-mails, vous avez besoin d'un DNS de sauvegarde pour établir votre crédibilité et assurer la livraison future des e-mails. Si un serveur de messagerie recherche votre domaine et constate qu'il n'existe pas, il fera immédiatement rebondir votre e-mail. Cependant, si les recherches DNS réussissent et que le serveur est en panne, l'e-mail sera mis en file d'attente pour une livraison ultérieure. Ce n'est que si vous êtes en panne pendant quelques jours que votre e-mail commence à rebondir. (Certains systèmes de distribution automatisés mal comportés n'essaient qu'une seule fois et peuvent échouer à remettre des messages même si votre serveur est en marche.)


1

Vous n'avez pas besoin de passer à la sauvegarde, c'est automagique. Si une demande DNS pour un nom dans votre domaine va jusqu'à interroger (rappelez-vous que le DNS est lourdement cahé) vos serveurs, alors si votre serveur NS principal ne répond pas, le serveur NS secondaire sera interrogé.

Si vous hébergez votre DNS loin du serveur hébergeant les services que vous fournissez, il est judicieux d'en avoir 2. Si l'un tombe en panne, l'autre reprendra et votre domaine sera toujours disponible.


J'ai lu pas mal de commentaires qui indiquent que de nombreux services de mise en cache DNS du monde réel (comme ceux utilisés par les FAI) ne réessayent pas en utilisant un deuxième serveur de noms, ils échouent simplement si le premier serveur ne répond pas. Par exemple, cette réponse sur serverfault . Dans ce cas, si vous avez deux serveurs de noms distincts, vous devez vous assurer que les deux sont actifs, car l'un ou l'autre étant en panne peut entraîner des temps d'arrêt pour les domaines hébergés. Cela va à l'encontre de la pratique courante et des RFC, mais semble préoccupant.
thomasrutter

1

En plus de ce qui précède:

Outre le fait qu'un deuxième serveur DNS est requis par RFC, il est également bon d'éviter la mise en cache négative par les résolveurs en amont. Il est courant de mettre en cache le fait que la demande ne correspond à aucun enregistrement (NXDOMAIN) / le serveur DNS est introuvable.

Comme certains FAI ont des politiques de mise en cache inhabituelles, il est préférable d'avoir un deuxième serveur DNS qui réponde à ces demandes même si le serveur Web est en panne. De cette façon, vous pouvez éviter les effets de la mise en cache négative une fois le serveur en cours d'exécution.

Remarque: En général, un intervalle de cache négatif de max. 5 min est suggéré (néanmoins certains FAI ont des valeurs vraiment folles)


1

Vous avez raison - vous n'avez pas besoin d'un secondaire tiers dans votre situation, et cela vous offrira quelques améliorations, à condition que tous vos autres services (y compris le courrier) soient toujours hébergés sur une seule boîte dans une seule réseau.

Oui, le primaire et le secondaire sont exécutés côte à côte; les deux sont censés avoir les mêmes informations (mais la cohérence des informations n'est pas garantie dans la pratique); pour un étranger, il n'y a pas de différence entre le serveur principal et le serveur secondaire, les deux sont vus de la même manière, généralement un seul est utilisé pour une résolution donnée. Si l'un est en panne, l'autre est essayé. Ce sera une mauvaise idée d'avoir l'un des serveurs à Tokyo, si tous vos clients sont à New York, car cela augmentera la latence de la résolution moyenne (par exemple, une mauvaise chose), car les serveurs sont jolis beaucoup choisis au hasard.

La spécification DNS semble exiger qu'au moins deux enregistrements NS soient fournis pour un domaine.Par conséquent, vous pouvez rencontrer certains résolveurs qui ne parviennent pas à résoudre un nom si vous parvenez à configurer un seul enregistrement NS pour votre domaine.

DJB, l'auteur de djbdns, fournit un bon aperçu des idées fausses sur un service DNS tiers secondaire:

http://cr.yp.to/djbdns/third-party.html

Ayons une citation sommaire de la page:

L'essentiel est que, pour la grande majorité des sites, le service DNS tiers a des coûts sérieux et des avantages négligeables, tout comme le service HTTP tiers et le service SMTP tiers. Les affirmations des sociétés de services sont largement exagérées et ne devraient jamais être utilisées comme substitut au bon sens.


-6

en réalité, dans une grande partie du monde, le serveur DNS de sauvegarde n'est jamais interrogé si le serveur principal tombe en panne. parce que c'est une étape supplémentaire pour le résolveur. il ne veut pas faire ce travail, et il ne le fera pas.

donc la sauvegarde est inutile. si le primaire tombe en panne, la requête DNS des utilisateurs ne retournera rien (même si un serveur DNS complètement fin est disponible et répertorié dans l'enregistrement de nom et les serveurs de rechange en attente). l'utilisateur pour obtenir un serveur introuvable.

essayez-le.


5
Je ne sais vraiment pas de quoi vous parlez, vous ne semblez vraiment pas comprendre comment fonctionne le DNS. Votre machine cliente doit être dirigée vers un serveur DNS de mise en cache, pas un serveur faisant autorité pour une zone. Chaque serveur de serveur DNS commun que je connais tentera d'accéder à d'autres serveurs de noms si le serveur principal n'est pas disponible avec la configuration par défaut. Il ne peut pas basculer si l'un des serveurs DNS est mal configuré.
Zoredache
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.