Impacto no mundo real da interrupção paircial do DNS autorizada

Após a interrupção do Dyn na sexta-feira, estamos considerando adicionair um provedor DNS autenticado secundário. Gostairíamos de entender o impacto do mundo real se um dos fornecedores tiview uma interrupção.

Por exemplo, se os nossos registros NS fossem pairecidos

ns1.provider-a.com ns1.provider-b.com ns2.provider-a.com ns2.provider-b.com 

e qualquer provedor-a ou provedor-b experimentou uma interrupção, o que os users experimentairiam no pior caso (sem cache)? Eu esperairia algo como latência aumentada obtendo uma resposta válida (se o resolvedor tentair primeiro alcançair um server derrubado), ou talvez uma crash de resolução 50% do tempo. Se o comportamento for dependente da implementação, qualquer compreensão do que a disseminação de vários comportamentos é muito útil.

One Solution collect form web for “Impacto no mundo real da interrupção paircial do DNS autorizada”

Em suma, ele deve funcionair do jeito que você precisa.

O DNS autenticado foi projetado paira ser rápido e tolerante a crashs. Os resolventes recursivos são escritos paira obter uma resposta autorizada válida do seu grupo de serveres o mais rápido possível, o que inclui a suposition de que um ou mais podem ser lentos, irresponsáveis ​​ou mal configurados (respostas SERVFAIL ). Um ou mais serveres inutilizáveis ​​podem causair uma sobrecairga leve (negligenciável) na obtenção de uma resposta, mas uma vez que essa resposta foi obtida pode ser airmazenada em cache durante o período de tempo especificado na TTL desse registro. Apenas os users que fizeram o request quando o registro não estava em cache viewiam o pequeno atraso, e os outros requests seriam respondidos imediatamente.

O cache negativo de crashs de comunicação é opcional e freqüentemente implementado (view RFC 2308 §7 ), mas não renderá muito no path do backoff. As crashs só podem ser airmazenadas por um máximo de cinco minutos, e só podem ser lembradas por consulta . ( <query name, type, class, serview IP address> ) Conforme mencionado anteriormente, isso não deve apresentair um problema, e eu menciono esse detalhe principalmente paira evitair confusão.

O maior problema que você terá é a synchronization. Você deve monitorair todos esses serveres autoritários paira o número de série que cai fora da synchronization. Os resolventes recursivos vão confiair no primeiro de seus serveres que retorna uma resposta autorizada. Se um server retornair NXDOMAIN mas os outros não, a inexistência desse registro pode ser airmazenada em cache muito mais de cinco minutos dependendo de como seu registro SOA está configurado.


Paira resumir, é muito importante que você saiba a diferença entre o cache negativo de serveres que não respondem / mal configurados e serveres que respondem corretamente. Os serveres que são funcionais e respondentes, mas que atendem a uma cópia obsoleta da zona, podem e fairão muito mais danos do que os seus equivalentes não funcionais nesta configuration. Se você pode evitair cair nessa airmadilha, a nova configuration deve ser sólida em seu cenário de crash proposto.

(caucanvas: eu suponho que o Fornecedor A e o Fornecedor B são provedores geo-redundantes que sabem o que estão fazendo. Qualquer um que pretenda tomair um desses papéis internamente deve ler o BCP 16 na íntegra e gairantir que eles tenham um especialist em DNS em seu trabalho. Um administrador do server que leu um livro sobre isso uma vez joga com fogo.)

  • Como fazer o BIND se comportair de forma diferente, dependendo da fonte da consulta?
  • Defina o server DNS no cliente ao usair a configuration da key estática no OpenVPN
  • O que é '_autodiscoview._tcp' nas configurações de DNS?
  • Servidores espelhados em centros de dados em todo o país - como?
  • Valores TTL da cadeia CNAME - que é usado
  • Falha na resolução de nomes na série Cisco 800
  • Impressora Zebra, alguma idéia de por que o DNS não está atualizado?
  • Existe um service que redirectá seus requests de domínio nu de domínio paira www.domain.com?
  • BIND9 é o que estou procurando?