Question Devrions-nous héberger nos propres serveurs de noms?


C'est un Question canonique sur l'opportunité d'externaliser la résolution DNS pour ses propres domaines

Mon fournisseur de services Internet fournit actuellement le DNS pour mon domaine, mais ils imposent des limites à l'ajout d'enregistrements. Par conséquent, je songe à utiliser mon propre DNS.

Préférez-vous héberger votre propre DNS ou vaut-il mieux que votre FAI le fasse?

Existe-t-il des alternatives sur lesquelles je peux me tourner?


89
2018-06-10 22:46


origine


En ajoutant aux réponses ci-dessous, l'expérience est également importante. Il y a de nombreuses erreurs que vous volonté en tant qu'administrateur DNS débutant, à moins d'un bon mentorat ou d'un œil d'aigle pour la documentation. (livres et RFC, ne pas HOWTOs) Des erreurs commises au niveau de la couche DNS faisant autorité provoquent des pannes même quand le reste de votre réseau va bien. - Andrew B
Lisez aussi les questions et réponses Pourquoi un DNS redondant géo est-il nécessaire même pour les petits sites? - HBruijn


Réponses:


Je ne voudrais pas utiliser mon propre serveur DNS. Dans mon cas, la société d'hébergement hébergeant mon site Web fournit un service DNS gratuit. Il existe également des alternatives, des entreprises qui ne font que héberger DNS (DNS Made Easy vient à l'esprit, mais il y en a beaucoup d'autres) qui sont le genre de chose que vous devriez probablement examiner.

La raison pour laquelle je ne le ferais pas moi-même, c'est que le DNS est censé être assez fiable, et à moins que vous n'ayez un réseau de serveurs réparti géographiquement, vous mettriez tous vos œufs dans le même panier, pour ainsi dire. En outre, il existe de nombreux serveurs DNS dédiés, suffisamment pour que vous n’ayez pas besoin de démarrer un nouveau.


63
2018-06-10 22:55



+1 à DNS Made Easy. Ils ont un enregistrement vérifié, 100,0% des mises à jour au cours des 7 dernières années. - Portman
Je pensais que je laisserais tomber une note. Aujourd’hui, nous en avons enfin marre du DNS de merde de notre fournisseur actuel, et nous sommes passés à DNS Made Easy sur la base de la recommandation proposée ici, et c’est fan-bloody-tastic. Aimer. J'aurais aimé l'avoir fait des années auparavant. - Mark Henderson♦
N’est-ce pas pour cela qu’il existe un serveur principal et un serveur secondaire pour chaque entrée? Je n'ai jamais eu un problème de primaire, et le secondaire étant mon registraire; Je veux dire que j'ai eu un petit problème sur le primaire, mais personne ne l'a remarqué parce qu'il y avait un secondaire fiable. - dlamblin
Bien sûr, rien de mal à cela si vous voulez vraiment exécuter votre propre serveur DNS pour une raison quelconque. Mais sinon, tant que vous paierez quand même une tierce partie pour l'hébergement DNS (pour être la deuxième), vous pourriez aussi bien la laisser gérer tout. Je pense que pour la plupart des gens, faire fonctionner un serveur DNS est plus ennuyant que ça en vaut la peine. - David Z
DNS Made Easy dispose en réalité d'un réseau de serveurs couvrant plusieurs continents. Et ils utilisent le routage anycast. Leur redondance est donc ridicule, bien au-delà de la configuration classique à deux serveurs (primaire et secondaire). Mais en théorie, cela signifie également que les ordinateurs du monde entier auront une résolution DNS rapide. - Steve Wortham


Nous hébergeons toujours notre propre DNS (DNS inversé préférable). Cela nous permet d’effectuer des modifications urgentes sans faire appel à une tierce partie. Si vous avez plusieurs emplacements, il est facile de configurer un niveau de redondance acceptable pour vos serveurs DNS.

Si vous n'avez pas plusieurs sites, alors je considérerais quelqu'un qui héberge spécifiquement DNS (PAS votre FAI) avec une interface Web pour les modifications. Recherchez également un support 24x7 et des contrats de niveau de service décents.


27
2018-06-10 22:54



Lorsque vous envisagez d’externaliser, demandez également quel type de protection ou d’atténuation des attaques DDoS est en place. Les fournisseurs de DNS sont attaqués tout le temps et certains sont capables de continuer à fonctionner sans crainte, d'autres s'effondrent au moindre pic de trafic, alors soyez las de la sous-traitance, à moins que ce ne soit un fournisseur de bonne réputation ayant de nombreux serveurs déployés anycast routage activé. - Justin Scott
J'étais sur le point de passer (avec beaucoup d'enthousiasme!) Sur la base de votre expérience personnelle dans la première phrase, mais vous suggérez ensuite d'utiliser un service tiers dans la seconde, ce qui signifie essentiellement qu'un point de défaillance supplémentaire est ajouté pour peu ou pas d'avantage. :/ Triste. - cnst


Pour une configuration DNS correcte et fiable pour votre (vos) domaine (s), vous devriez avoir ...

  • Un minimum de deux serveurs DNS faisant autorité pour votre domaine;
  • Les serveurs DNS doivent être connectés à différents réseaux physiques et alimentations;
  • Les serveurs DNS doivent être situés dans différentes zones géographiques.

Étant donné qu'il est peu probable que vous ayez accès à l'infrastructure réseau ci-dessus, il est préférable de choisir un fournisseur d'hébergement DNS de bonne réputation (comme d'autres l'ont recommandé) disposant de l'infrastructure réseau ci-dessus.


18
2018-06-11 01:30



Difficile de ne pas être convaincu quand vous le dites de cette façon. - Filip Dupanović
C’est un excellent résumé du consensus de l’industrie, sans exception. (Vous savez, le secteur qui tire son argent de solutions onéreuses sur-conçues, qui risquent même de ne pas atteindre les spécifications réelles.) - cnst


Pendant de nombreuses années, j'ai exploité mes propres serveurs DNS avec BIND (versions 8 et 9) sans souci majeur. J'ai stocké mes configurations dans le contrôle de version avec des vérifications post-validation qui valideraient les fichiers de zone, puis mes serveurs DNS auraient extrait les fichiers de zone à intervalles réguliers. Le problème consistait toujours à s'assurer que le numéro de série SOA était mis à jour avec chaque validation validée, sans quoi les serveurs de mise en cache ne seraient pas mis à jour.

Des années plus tard, j’ai travaillé avec djbdns car le format était idéal pour avoir des scripts automatisés pour gérer les zones et ne souffrait pas du même problème de numéro de série SOA que je n’avais à traiter avec BIND. Cependant, le fait de devoir formater certains jeux d'enregistrements de ressources pour les accepter est un problème.

Comme je trouvais que la majeure partie de mon trafic était DNS et que je devais maintenir à la fois un serveur DNS principal et un serveur DNS secondaire afin de satisfaire les bureaux d’enregistrement que j’ai depuis déplacés EasyDNS pour mes besoins DNS. Leur interface Web est facile à gérer et me donne la flexibilité dont j'ai besoin pour gérer mes ensembles de RR. J'ai également trouvé qu'il était facile de travailler avec ceux fournis par certains fournisseurs d'hébergement tels que 1 & 1 qui limitent les ensembles de RR disponibles que vous pouvez entrer, ou même les registraires de domaines comme Solutions réseau qui ne fonctionne que si vous utilisez Windows pour gérer votre DNS.


13
2018-06-11 01:14



C’est une bonne réponse honnête, mais il semble que vous vous trompiez peut-être quant au bien-fondé de votre solution: en utilisant EasyDNS, vous en faites votre seul point d’échec; votre site est peut-être déjà opérationnel, mais vos noms risquent de ne pas être résolus si votre fournisseur tiers subit une panne ou une attaque DDoS dirigée contre l'un de ses clients. - cnst


Pour mes domaines personnels (et les domaines de certains amis avec lesquels j'aide), nous hébergeons notre propre DNS et mon registraire (Gandi) fournit un DNS secondaire. Ou un ami sur un autre réseau fournit secondaire. Gandi ne met pas à jour les zones immédiatement, elles semblent vérifier environ toutes les 24 heures environ, mais les modifications sont très rares. fonctionne assez bien pour nous, et leur serveur est probablement beaucoup plus fiable que le nôtre.

Dans mon travail, nous faisons notre propre DNS et notre fournisseur de réseau en amont fournit un DNS secondaire. Cependant, nous sommes une université et 99% de nos utilisateurs sont sur site; si le réseau local est en panne, peu importe si le DNS est en panne. En outre, nous avons une classe B complète (/ 16) avec environ 25 000 enregistrements DNS (plus de 25 000 enregistrements DNS inversés, bien sûr), ce qui semble un peu difficile à gérer via une interface Web. Nos serveurs DNS locaux sont hautement disponibles et rapides.


8
2018-06-10 23:23



Nous faisons la même chose ici. Nous avons deux machines Linux exécutant BIND (une pri l'autre seconde) et notre "fournisseur de services Internet" utilise également un DNS secondaire. - l0c0b0x
Idem. Également avec une classe B, exécutant également nos propres serveurs DNS BIND. Et quand nous avons des problèmes de DNS, c'est généralement avec notre site externe;) - sysadmin1138♦
Très bonne réponse; C’est ma réponse préférée à cette question jusqu’à présent, car elle repose à la fois sur de saines pratiques d’ingénierie et sur une estimation réaliste de la redondance et de la disponibilité disponibles, ainsi que sur l’expérience personnelle; Tandis que de nombreuses autres réponses citent simplement leur fournisseur de DNS tiers préféré ou copient à l'aveugle les briefs rédigés par des personnes qui ont clairement pour conflit de gagner de l'argent en utilisant des solutions trop élaborées qu'ils proposent. - cnst


J'ai fait les deux. Il peut y avoir des avantages à héberger le vôtre: vous en apprendrez certainement beaucoup sur le fonctionnement du DNS lorsque votre patron vous demandera pourquoi cela prend si longtemps. De plus, vous maîtrisez mieux vos zones. Ce n'est pas toujours aussi puissant qu'il devrait l'être, en grande partie à cause de la nature distribuée hiérarchique du DNS - mais de temps en temps, cela s'avère utile. En double donc, si vous pouvez obtenir que votre fournisseur vous alloue en tant que SOA pour le DNS inversé de votre bloc IP, en supposant que vous en ayez un.

Cependant, tous les commentaires ci-dessus sur la façon dont vous devriez vraiment avoir beaucoup de résistance aux défaillances intégrée ci-dessus vont bon train. Les serveurs dans différents centres de données dans différentes zones géographiques sont importants. Après avoir subi la coupure de courant massive dans le nord-est en 2003 - nous avons tous appris qu’avoir une boîte dans deux centres de données différents dans la même ville, ou même une province ou un État - n’était pas nécessairement suffisant. L'exaltation qui se déclenche lorsque vous réalisez vos batteries, puis les générateurs diesel sauvés de vos fesses, est rapidement remplacée par l'effroi causé par la prise de conscience que vous conduisez maintenant avec votre roue de secours.

Toutefois, j’exécute toujours notre serveur DNS interne pour le réseau local. Il peut être très utile d’avoir un contrôle complet sur le DNS que votre réseau utilise en interne - et en cas de coupure de courant dans votre bureau, votre serveur DNS interne, du fait qu’il se trouve dans le rack du serveur, est probablement alimenté par batterie ou par batterie, alors que votre PC ne le sera pas - vos clients seront donc hors ligne bien avant le serveur.


5
2018-06-11 02:06





Je lis toutes ces solutions avec un certain amusement parce que nous avons réussi à nous conformer accidentellement à toutes ces "exigences" en hébergeant notre DNS primaire sur une ligne DSL statique et en demandant au bureau d'enregistrement (situé sur un autre continent) de fournir un DNS secondaire sur un serveur distant. connexion beaucoup plus sérieuse et fiable. De cette manière, nous bénéficions de toute la souplesse voulue pour utiliser bind et définir tous les enregistrements, tout en étant raisonnablement assurés que le secondaire sera mis à jour pour refléter ces modifications et sera disponible en cas d'incendie, signalant un événement.

Cela remplit efficacement:
"Un minimum de deux serveurs DNS faisant autorité pour votre domaine;"
"Les serveurs DNS doivent être connectés à différents réseaux physiques et alimentations;"
"Les serveurs DNS doivent être situés dans différentes zones géographiques."


4
2017-09-14 07:56



C'est certainement une approche de bien-être; mais si un trou d'homme prend feu et que toute votre infrastructure tombe en panne, sans DNS, à quoi sert-il que le DNS soit toujours disponible, alors qu'aucun des serveurs ne peut être contacté? :-) Je pense que l’embarras du DNS secondaire tiers n’a de sens que si vous externalisez vous-même certains autres services à d’autres tiers. - cnst
@cmst Le problème, c’est que lorsque DNS est en panne, tous ceux qui vous envoient un e-mail voient un problème immédiat (clients, partenaires, très mauvaise publicité). Si le DNS fonctionne et que le serveur de messagerie est en panne pendant quelques heures, la plupart du temps, ils ne remarquent rien. - kubanczyk
@cmst DNS ne se limite pas à pointer sur les serveurs de mon réseau personnel. Je peux nommer des IP n'importe où. Par exemple, j’ai peut-être un nom pour chacune des boîtes NAT du réseau domestique de mes employés / amis. Ou je pourrais utiliser d'autres types d'enregistrement et identifier / vérifier publiquement quelque chose. - dlamblin


Jeter un coup d'œil à Dyn.com; ils ont toutes sortes de services liés au DNS tels que l'hébergement DNS, le DNS dynamique, MailHop, etc. Je les trouve fiables et les utilise depuis probablement 5 ans.


4
2018-06-10 23:17



+1, j'utilise DynDNS depuis environ 2 ans maintenant et je suis entièrement satisfait de leur service. - cdmckay
Dyn.com était dynDNS avant 2013. - Knox