เราควรโฮสต์เซิร์ฟเวอร์ชื่อของเราเอง?


93

นี่เป็นคำถามที่ยอมรับได้เกี่ยวกับว่าจะใช้การแก้ปัญหา DNS สำหรับโดเมนของตนเองหรือไม่

ขณะนี้ฉันมี ISP ของฉันที่ให้บริการ DNS สำหรับโดเมนของฉัน แต่พวกเขากำหนดข้อ จำกัด ในการเพิ่มระเบียน ดังนั้นฉันจึงคิดว่าจะใช้งาน DNS ของตัวเอง

คุณต้องการโฮสต์ DNS ของคุณเองหรือดีกว่าถ้าให้ ISP ทำสิ่งนี้

มีทางเลือกอื่นที่ฉันสามารถค้นหาได้หรือไม่?


การเพิ่มคำตอบด้านล่างประสบการณ์ก็สำคัญเช่นกัน มีข้อผิดพลาดมากมายที่คุณจะทำในฐานะผู้ดูแลระบบ DNS ที่มีประสบการณ์ยกเว้นการให้คำปรึกษาที่ดี (หนังสือและ RFC ไม่ใช่ HOWTO) ข้อผิดพลาดที่เกิดขึ้นกับเลเยอร์ DNS ที่มีสิทธิ์ทำให้เกิดการขัดข้องแม้ว่าเครือข่ายที่เหลือของคุณจะไม่ทำงาน
Andrew B

อ่านคำถามที่ถามบ่อยที่เกี่ยวข้องทำไม geo redundant DNS จึงจำเป็นสำหรับเว็บไซต์ขนาดเล็ก
HBruijn

คำตอบ:


64

ฉันจะไม่ใช้เซิร์ฟเวอร์ DNS ของตัวเอง - ในกรณีของฉัน บริษัท โฮสติ้งที่โฮสต์เว็บไซต์ของฉันให้บริการ DNS ฟรี นอกจากนี้ยังมีทางเลือก บริษัท ที่ไม่ทำอะไรเลยนอกจากการโฮสต์ DNS ( DNS Made Easyเป็นที่รู้จัก แต่มีคนอื่น ๆ อีกมากมาย) ซึ่งเป็นสิ่งที่คุณควรพิจารณา

เหตุผลที่ฉันไม่ทำเองก็คือ DNS ควรจะมีความน่าเชื่อถือพอสมควรและถ้าคุณไม่มีเครือข่ายเซิร์ฟเวอร์ของคุณเองคุณต้องใส่ไข่ทั้งหมดไว้ในตระกร้าเดียว นอกจากนี้ยังมีเซิร์ฟเวอร์ DNS เฉพาะจำนวนมากพอที่คุณไม่จำเป็นต้องเริ่มต้นเซิร์ฟเวอร์ใหม่


7
+1 กับ DNS ทำได้ง่าย พวกเขามีการตรวจสอบบันทึกการปรับปรุง 100.0% ในช่วง 7 ปีที่ผ่านมา
Portman

แค่คิดว่าฉันจะบันทึกย่อ เพียงแค่วันนี้ในที่สุดเราก็เบื่อหน่ายกับ DNS เส็งเคร็งจากผู้ให้บริการปัจจุบันของเราเปลี่ยนไปใช้ DNS Made Easy ตามคำแนะนำที่นี่และเป็นแฟนพันธุ์แท้ รักมัน หวังว่าฉันจะได้ทำมันมาหลายปีแล้ว
Mark Henderson

1
นี่ไม่ใช่เหตุผลที่ทำไมมีเซิร์ฟเวอร์หลักและเซิร์ฟเวอร์รองสำหรับทุกรายการ ฉันไม่เคยมีความผิดพลาดเป็นหลักและมีรองเป็นนายทะเบียนของฉัน; ฉันหมายความว่าฉันมีความผิดพลาดในระดับประถมศึกษา แต่ไม่มีใครสังเกตเห็นเพราะมีความน่าเชื่อถือรอง
dlamblin

แน่นอนว่าไม่มีอะไรผิดปกติหากคุณต้องการใช้งานเซิร์ฟเวอร์ DNS ของคุณเองด้วยเหตุผลบางประการ แต่ไม่เช่นนั้นตราบใดที่คุณจะต้องจ่ายเงินให้บุคคลที่สามเพื่อโฮสต์ DNS ต่อไป (เพื่อเป็นรอง) คุณก็อาจปล่อยให้พวกเขาจัดการทั้งหมดได้ ฉันคิดว่าสำหรับคนส่วนใหญ่การใช้เซิร์ฟเวอร์ DNS เป็นปัญหามากกว่าที่ควรจะเป็น
David Z

DNS Made Easy มีเครือข่ายเซิร์ฟเวอร์ที่ครอบคลุมหลายทวีป และพวกเขาใช้การกำหนดเส้นทาง anycast ดังนั้นความซ้ำซ้อนของพวกเขาจึงไร้สาระเกินกว่าการตั้งค่าเซิร์ฟเวอร์สองตัว (หลักและรอง) แต่ในทางทฤษฎีแล้วก็หมายความว่าคอมพิวเตอร์ทั่วโลกจะได้รับการแก้ไข DNS อย่างรวดเร็ว
Steve Wortham

27

เราโฮสต์ DNS ของเราเองเสมอ (เลือก DNS ย้อนกลับที่ดีกว่า) สิ่งนี้ทำให้เราสามารถทำการเปลี่ยนแปลงฉุกเฉินโดยไม่ต้องพึ่งพาบุคคลที่สาม หากคุณมีมากกว่าหนึ่งที่ตั้งมันเป็นเรื่องง่ายที่จะตั้งค่าระดับความซ้ำซ้อนในระดับที่ยอมรับได้สำหรับเซิร์ฟเวอร์ DNS ของคุณ

หากคุณไม่มีหลายไซต์ฉันจะพิจารณาคนที่โฮสต์ DNS โดยเฉพาะ (ไม่ใช่ ISP ของคุณ) พร้อมเว็บอินเตอร์เฟสสำหรับการเปลี่ยนแปลง ค้นหาการสนับสนุนตลอด 24 ชั่วโมงทุกวันและ SLA ที่เหมาะสม


4
เมื่อพิจารณาถึงการจ้างผู้รับเหมาช่วงขอให้มีการป้องกันหรือบรรเทา DDoS ประเภทใดบ้าง ผู้ให้บริการ DNS มักถูกโจมตีอยู่ตลอดเวลาและบางคนก็สามารถทำงานต่อไปได้โดยที่ไม่ต้องเสียเหงื่อและคนอื่น ๆ จะพังทลายลงมาเป็นกองเล็ก ๆ น้อย ๆ ที่มีปริมาณการจราจรติดขัดน้อยที่สุด เปิดใช้งานการกำหนดเส้นทาง anycast
Justin Scott

ฉันกำลังจะ upvote (ด้วยความกระตือรือร้น!) จากประสบการณ์ส่วนตัวของคุณในประโยคแรก แต่คุณแนะนำให้ใช้บริการของบุคคลที่สามในอันดับที่สองซึ่งโดยทั่วไปหมายความว่ามีการเพิ่มจุดที่ไม่จำเป็นโดยไม่จำเป็นสำหรับ น้อยถึงไม่มีประโยชน์ : / Sad
cnst

19

สำหรับการตั้งค่า DNS ที่ดีและน่าเชื่อถือสำหรับโดเมนของคุณคุณควรมี ...

  • อย่างน้อยสองเซิร์ฟเวอร์ DNS ที่มีสิทธิ์สำหรับโดเมนของคุณ
  • เซิร์ฟเวอร์ DNS ควรเชื่อมต่อกับเครือข่ายทางกายภาพและแหล่งจ่ายไฟที่แตกต่างกัน
  • เซิร์ฟเวอร์ DNS ควรอยู่ในพื้นที่ทางภูมิศาสตร์ที่แตกต่างกัน

เนื่องจากไม่น่าที่คุณจะสามารถเข้าถึงโครงสร้างพื้นฐานเครือข่ายด้านบนคุณควรเลือกผู้ให้บริการโฮสต์ DNS ที่มีชื่อเสียง (ตามที่คนอื่นแนะนำ) ซึ่งมีโครงสร้างพื้นฐานเครือข่ายด้านบน


ยากที่จะไม่เชื่อเมื่อคุณทำแบบนั้น
Filip Dupanović

นี่เป็นบทสรุปที่ยอดเยี่ยมของฉันทามติอุตสาหกรรม (คุณจะรู้ว่าอุตสาหกรรมที่ทำให้เงินจากการแก้ปัญหา overengineered แพงที่อาจไม่ได้ดำเนินการเพื่อสเปคจริงที่เกิดขึ้นจริง.)
CNST

สิ่งที่ดีคือการมีเซิร์ฟเวอร์ DNS ที่ซ้ำซ้อนสูงหากโฮสติ้งของคุณยังคงไม่ซ้ำซ้อน
Chris Smith

13

เป็นเวลาหลายปีที่ฉันใช้เซิร์ฟเวอร์ DNS ของตัวเองโดยใช้ BIND (เวอร์ชัน 8 และ 9) โดยไม่ต้องยุ่งยากอะไรมาก ฉันเก็บการกำหนดค่าของฉันไว้ในการควบคุมเวอร์ชันด้วยการตรวจสอบภายหลังการกระทำซึ่งจะตรวจสอบความถูกต้องของไฟล์โซนจากนั้นให้เซิร์ฟเวอร์ DNS ของฉันเช็คเอาต์ไฟล์โซนตามช่วงเวลาปกติ ปัญหาได้รับการตรวจสอบให้แน่ใจเสมอว่าหมายเลขซีเรียล SOA นั้นได้รับการอัปเดตทุกครั้งที่ส่งออกไปมิฉะนั้นเซิร์ฟเวอร์แคชจะไม่อัปเดต

หลายปีต่อมาฉันทำงานกับ djbdns เนื่องจากรูปแบบนั้นเหมาะสำหรับการใช้สคริปต์อัตโนมัติในการจัดการโซนและไม่ประสบปัญหาหมายเลขซีเรียล SOA เดียวกันที่ฉันต้องจัดการกับการใช้ BIND อย่างไรก็ตามมันมีปัญหาเกี่ยวกับการจัดรูปแบบชุดระเบียนทรัพยากรบางอย่างเพื่อให้พวกเขาได้รับการยอมรับ

เนื่องจากฉันพบว่าการรับส่งข้อมูลส่วนใหญ่ของฉันคือ DNS และต้องบำรุงรักษาทั้งเซิร์ฟเวอร์ DNS หลักและรองเพื่อให้นายทะเบียนที่ฉันได้ย้ายไปใช้EasyDNSสำหรับ DNS ของฉันต้องการ เว็บอินเตอร์เฟสของพวกเขานั้นง่ายต่อการจัดการและให้ความยืดหยุ่นที่ฉันต้องการในการจัดการชุด RR ของฉัน ฉันยังพบว่าการทำงานกับผู้ให้บริการโฮสต์บางรายเช่น1 & 1ที่ จำกัด ชุด RR ที่คุณสามารถใช้งานได้ง่ายหรือแม้แต่ผู้จดทะเบียนโดเมนเช่นNetwork Solutionsซึ่งทำงานได้เฉพาะเมื่อคุณใช้ Windows เพื่อจัดการ DNS ของคุณ


นี่เป็นคำตอบที่ตรงไปตรงมา แต่ดูเหมือนคุณอาจหลอกลวงตัวเองในความสมบูรณ์ของโซลูชันของคุณ - โดยการใช้ EasyDNS คุณกำลังทำให้เป็นจุดเดียวของความล้มเหลว ไซต์ของคุณอาจเปิดใช้งานแล้ว แต่ชื่อของคุณอาจไม่ได้รับการแก้ไขหากผู้ให้บริการบุคคลที่สามของคุณประสบปัญหาไฟดับหรือ DDoS กำกับการแสดงที่ลูกค้าคนใดคนหนึ่งของพวกเขา
cnst

8

สำหรับโดเมนส่วนตัวของฉัน (และโดเมนของเพื่อนฉันช่วยด้วย) เราโฮสต์ DNS ของเราเองและนายทะเบียนของฉัน (Gandi) ให้ DNS รอง หรือเพื่อนในเครือข่ายอื่นให้รอง Gandi ไม่ได้อัปเดตโซนทันทีพวกเขาดูเหมือนจะตรวจสอบทุกๆ 24 ชั่วโมงหรือมากกว่านั้น แต่การเปลี่ยนแปลงนั้นไม่บ่อยนัก ทำงานได้ดีพอสำหรับเราและเซิร์ฟเวอร์ของพวกเขาน่าเชื่อถือกว่าเรามาก

ที่งานของฉันเราทำ DNS ของเราเองและผู้ให้บริการเครือข่ายอัปสตรีมของเราให้ DNS รอง อย่างไรก็ตามเราเป็นมหาวิทยาลัยและ 99% ของผู้ใช้ของเราอยู่ในสถานที่ หากเครือข่ายท้องถิ่นล่มไม่สำคัญว่า DNS ขัดข้อง นอกจากนี้เรายังมีคลาส -B (/ 16) ที่มีระเบียน DNS ประมาณ 25k (รวมถึงระเบียน DNS ย้อนกลับ 25k) ซึ่งดูเหมือนว่าจะจัดการการใช้งานเว็บอินเตอร์เฟสได้อย่างไม่น่าเชื่อ เซิร์ฟเวอร์ DNS ในพื้นที่ของเราพร้อมใช้งานสูงและรวดเร็วมาก


3
เราทำสิ่งเดียวกันที่นี่ เรามีกล่อง Linux สองกล่องที่รัน BIND (หนึ่งกล่องต่อวินาที) และ 'ISP' ของเราก็ใช้ DNS รองด้วยเช่นกัน
l0c0b0x

1
เหมือนกัน เช่นเดียวกันกับ class-B ที่ใช้เซิร์ฟเวอร์ BIND DNS ของเราเอง และเมื่อเรามีปัญหา DNS ก็มักจะมีการปิดเว็บไซต์ของเรา;)
sysadmin1138

คำตอบที่ดี; นี่คือคำตอบที่ฉันโปรดปรานสำหรับคำถามนี้จนถึงตอนนี้เพราะจริง ๆ แล้วมันขึ้นอยู่กับทั้งการปฏิบัติด้านวิศวกรรมเสียงและการประมาณค่าที่เป็นจริงของความซ้ำซ้อนและความพร้อมใช้งานที่มีอยู่รวมถึงประสบการณ์ส่วนตัว ในขณะที่คำตอบอื่น ๆ มากมายเพียงแค่แสดงรายการผู้ให้บริการ DNS บุคคลที่สามที่พวกเขาชื่นชอบหรือคัดลอกข้อความสั้น ๆ ที่เขียนโดยคนที่มีความขัดแย้งทางผลประโยชน์ที่ชัดเจนในการทำเงินเพิ่มเติมจากโซลูชั่นที่มีการเปลี่ยนแปลง
cnst

5

ฉันทำทั้งสองอย่างแล้ว มีประโยชน์กับการโฮสต์ของคุณเอง: คุณเรียนรู้มากมายเกี่ยวกับวิธีการทำงานของ DNS เมื่อเจ้านายของคุณถามคุณว่าเหตุใดจึงใช้เวลานาน นอกจากนี้คุณยังสามารถควบคุมโซนของคุณได้อีกมากมาย สิ่งนี้ไม่ได้มีประสิทธิภาพเท่าที่ควรเป็นส่วนใหญ่เนื่องจากลักษณะการกระจายของ DNS แบบลำดับชั้น แต่ทุก ๆ ครั้งที่มันมีประโยชน์ หากคุณสามารถให้ผู้ให้บริการของคุณจัดสรรให้คุณเป็น SOA สำหรับ DNS ย้อนกลับของบล็อก IP ของคุณสมมติว่าคุณมี

อย่างไรก็ตามความคิดเห็นทั้งหมดข้างต้นเกี่ยวกับวิธีที่คุณควรจะมีการต่อต้านความล้มเหลวจำนวนมาก เซิร์ฟเวอร์ในศูนย์ข้อมูลต่าง ๆ ในพื้นที่ทางภูมิศาสตร์ที่แตกต่างกันเป็นสิ่งสำคัญ การจัดการผ่านกระแสไฟฟ้าดับขนาดใหญ่ในภาคตะวันออกเฉียงเหนือในปี 2546 เราทุกคนได้เรียนรู้ว่าการมีศูนย์ข้อมูลสองแห่งในเมืองเดียวกันหรือแม้กระทั่งจังหวัดหรือรัฐก็ไม่ได้ป้องกันเพียงพอ ความอิ่มเอมใจที่เริ่มขึ้นเมื่อคุณตระหนักถึงแบตเตอรี่ของคุณและจากนั้นเครื่องกำเนิดไฟฟ้าดีเซลจะบันทึกก้นของคุณอย่างรวดเร็วด้วยความกลัวที่เกิดจากการรับรู้ว่าคุณกำลังขับรถบนยางอะไหล่

อย่างไรก็ตามฉันใช้เซิร์ฟเวอร์ DNS ภายในสำหรับ LAN เสมอ มันมีประโยชน์มากในการควบคุม DNS อย่างสมบูรณ์ที่เครือข่ายของคุณใช้ภายใน - และถ้าพลังงานดับลงในสำนักงานของคุณเซิร์ฟเวอร์ DNS ภายในของคุณโดยอาศัยอยู่ในชั้นวางเซิร์ฟเวอร์อาจใช้แบตเตอรี่หรือแบตเตอรี่และดีเซล ในขณะที่พีซีของคุณจะไม่ - ดังนั้นลูกค้าของคุณจะออฟไลน์นานก่อนที่เซิร์ฟเวอร์จะ


4

ฉันกำลังอ่านวิธีแก้ปัญหาทั้งหมดนี้ด้วยความสนุกสนานเพราะเราจัดการเพื่อให้พอดีกับ "ข้อกำหนด" เหล่านี้ทั้งหมดโดยบังเอิญโดยโฮสต์ DNS หลักของเราออกจากสาย DSL คงที่และการมีนายทะเบียน (ซึ่งอยู่ในทวีปอื่น) ให้ DNS รองบน การเชื่อมต่อที่ร้ายแรงและเชื่อถือได้มากขึ้น ด้วยวิธีนี้เราได้รับความยืดหยุ่นทั้งหมดของการใช้การเชื่อมโยงและการตั้งค่าระเบียนทั้งหมดในขณะที่มีความมั่นใจที่เหมาะสมว่ารองได้รับการปรับปรุงเพื่อสะท้อนการเปลี่ยนแปลงเหล่านี้และจะสามารถใช้ได้ในกรณีที่เกิดเพลิงไหม้

สิ่งนี้สามารถตอบสนองได้อย่างมีประสิทธิภาพ:
"เซิร์ฟเวอร์ DNS ที่มีสิทธิ์อย่างน้อยสองตัวสำหรับโดเมนของคุณ"
"เซิร์ฟเวอร์ DNS ควรเชื่อมต่อกับเครือข่ายทางกายภาพและแหล่งจ่ายไฟที่ต่างกัน"
"เซิร์ฟเวอร์ DNS ควรอยู่ในพื้นที่ทางภูมิศาสตร์ที่ต่างกัน"


นี่เป็นวิธีการที่รู้สึกดีอย่างแน่นอน แต่ถ้าช่องโหว่เกิดไฟไหม้และโครงสร้างพื้นฐานทั้งหมดของคุณดับลง DNS ของคุณยังคงมีจุดใดที่ DNS สามารถใช้ได้เมื่อไม่มีเซิร์ฟเวอร์ใดที่สามารถติดต่อได้ :-) ฉันคิดว่าปัญหาของ DNS รองบุคคลที่สามจะสมเหตุสมผลถ้าคุณให้บริการภายนอกกับบุคคลที่สามอื่น ๆ ด้วยเช่นกัน
cnst

@cmst ประเด็นคือเมื่อ DNS ล่มทุกคนที่ส่งอีเมลถึงคุณพวกเขาเห็นปัญหาทันที (ลูกค้า - คู่ค้า - การประชาสัมพันธ์ที่แย่มาก) ถ้า dns ใช้งานและเมลเซิร์ฟเวอร์หยุดทำงานไปหลายชั่วโมงพวกเขาส่วนใหญ่จะไม่สังเกตเห็นอะไรเลย
kubanczyk

@cmst DNS ไม่ จำกัด เฉพาะการชี้ไปยังเซิร์ฟเวอร์บนเครือข่ายส่วนตัวของฉัน ฉันสามารถตั้งชื่อ IP ได้ทุกที่ เช่นฉันอาจมีชื่อสำหรับกล่อง NAT เครือข่ายภายในบ้านของพนักงาน / เพื่อนแต่ละคน หรือฉันสามารถใช้ประเภทบันทึกอื่น ๆ และระบุ / ยืนยันบางอย่างในที่สาธารณะ
dlamblin

4

ดูDyn.com ; พวกเขามีบริการที่เกี่ยวข้องกับ DNS ทุกประเภทเช่นการโฮสต์ DNS, DNS แบบไดนามิก, MailHop และอื่น ๆ ฉันพบว่าเชื่อถือได้และใช้งานมานาน 5 ปี


2
+1, ฉันใช้ DynDNS มาประมาณ 2 ปีแล้วและพอใจกับบริการของพวกเขาอย่างสมบูรณ์
cdmckay

Dyn.com เคยเป็น dynDNS มาก่อนประมาณปี 2013
Knox

3

มันขึ้นอยู่กับ.

ฉันใช้งาน DNS ของตัวเองสำหรับงานที่หลากหลายตั้งแต่ช่วงปลายยุค 80 (BSD 4.3c) สำหรับการทำงานฉันมักจะโฮสต์ DNS ของตัวเองอยู่เสมอ แต่ฉันมีที่ตั้งดาต้าเซ็นเตอร์หลายแห่งเสมอหรือสามารถแลกเปลี่ยน DNS สำรองกับพันธมิตรได้ ตัวอย่างเช่นที่งานล่าสุดของฉันเราทำ DNS สำรองสำหรับ. EDU อื่น (พวกเขาอยู่ใน MN เราอยู่ใน CA) และพวกเขาก็ทำเช่นเดียวกันสำหรับเรา ความหลากหลายทางภูมิศาสตร์และเครือข่าย

หรือที่งานปัจจุบันของฉันเรามีดาต้าเซ็นเตอร์ของสหรัฐฝั่งตะวันออกและตะวันตก การโฮสต์ DNS ของเราเองทำให้เราสามารถใส่ระเบียน DNS ที่ผิดปกติซึ่งเราอาจต้องการ (SVR, TXT, ฯลฯ ) ที่อาจไม่ได้รับการสนับสนุนจากบริการ GUI DNS บางอย่าง และเราสามารถเปลี่ยน TTL ได้ทุกเมื่อที่ต้องการ เรามีความยืดหยุ่นในระดับสูงสุดโดยมีค่าใช้จ่ายในการทำเอง

สำหรับบ้านฉันทำทั้งสองอย่าง สำหรับบางโดเมนที่ฉันทำสิ่งผิดปกติหรือต้องการความยืดหยุ่นมากมายฉันยังคงเรียกใช้เซิร์ฟเวอร์ DNS หลักที่ "ซ่อนอยู่" ของตัวเองและแลกเปลี่ยนบริการ DNS สาธารณะกับผู้อื่นที่ทำเช่นเดียวกัน ฉันใช้ RCS ไปยังไฟล์โซนการควบคุมเวอร์ชันสำหรับการจัดการการกำหนดค่าดังนั้นฉันสามารถดูประวัติทั้งหมดของการเปลี่ยนโซนย้อนหลังไปถึงเวลาเริ่มต้น สำหรับสิ่งที่ง่าย ๆ เช่นโดเมนที่มีบล็อกเดียวหรือเว็บเซิร์ฟเวอร์ทั่วไป (หนึ่งระเบียน A หรือ CNAME หนึ่งรายการ) การใช้บริการจดทะเบียนโดเมน DNS จะง่ายกว่าหากมีและตอนนี้กังวลเกี่ยวกับ CM

มันเป็นการแลกเปลี่ยน การควบคุมและความยืดหยุ่นขั้นสูงสุดมาพร้อมกับค่าใช้จ่ายในการจัดการความหลากหลายด้วยตัวคุณเองใช้งานเซิร์ฟเวอร์หลายเครื่องจัดการกับความล้มเหลวของฮาร์ดแวร์ / ซอฟต์แวร์ ฯลฯ หากคุณไม่ต้องการความยืดหยุ่นหรือการควบคุมทั้งหมดผู้ให้บริการ DNS ระดับบนสุดจะ แก้ปัญหาของคุณอาจมีค่าใช้จ่ายรวมต่ำกว่า


แม้ว่าจะเป็นเรื่องจริงที่ว่าการใช้ DNS ของผู้รับจดทะเบียนง่ายกว่าไม่ใช่เรื่องผิดปกติใด ๆ ที่ DNS ของผู้รับจดทะเบียนจะหยุดทำงานในขณะที่ทั้งการลงทะเบียนโดเมนและโฮสต์ของคุณยังไม่พร้อมใช้งาน แต่ไซต์ของคุณยังไม่พร้อมใช้งาน เนื่องจากคุณได้เพิ่มจุดที่ล้มเหลวในการตั้งค่าของคุณเพื่อความสะดวก ไม่ใช่เรื่องยากที่จะใช้งาน DNS ของคุณเอง โดยเฉพาะอย่างยิ่งในปัจจุบันด้วยเซิร์ฟเวอร์ที่มีน้ำหนักเบาและใช้งานง่าย
cnst

3

ดังที่ได้กล่าวไปแล้วในหัวข้อนี้มีกรณีพิเศษหลายอย่างกับ DNS ความแตกต่างที่สำคัญที่สุดคือระหว่างการปรับใช้เนมเซิร์ฟเวอร์ที่มีสิทธิ์และแคช

  1. หากคุณต้องการเซิร์ฟเวอร์ DNS เพียงเพื่อแก้ไขทรัพยากรอินเทอร์เน็ตตัวแก้ไข DNS ที่แคชฟรีบางตัวเป็นตัวเลือกที่ชาญฉลาด ฉันใช้ PowerDNS recursor (pdns-recursor) บน Linux เป็นการส่วนตัว

  2. สำหรับการให้บริการโครงสร้างพื้นฐานภายนอกเช่นเว็บไซต์หรือ MX ของฉันจะไม่ใช้ NSes ภายใน (ถ้าเรากำลังพูดถึง SOHO ที่นี่) ใช้บางส่วนที่ดีน่าเชื่อถือและกระสุนบริการเช่นDNSmadeasy ฉันใช้แพคเกจธุรกิจของพวกเขาและมันเป็นหินในขณะที่ราคาไม่แพงมาก


หลายคนยังรับรองมุมมองของ DJB ว่าไม่เคยใช้แคช DNS (ตัวแก้ไขแบบเรียกซ้ำ) ในระบบเดียวกับ DNS ที่ให้บริการ (ที่เก็บไฟล์โซน) นี่คือเหตุผลด้านความปลอดภัยดังนั้นช่องโหว่ในช่องหนึ่งจึงไม่ส่งผลกระทบอื่น ๆ
kubanczyk


2

เราเพิ่งนำ DNS สาธารณะของเรามาไว้ในบ้านเมื่อเรานำบริการทั้งหมดของเราเข้ามาในบ้าน สิ่งนี้ช่วยให้เราสามารถอัปเดตทุกอย่างได้อย่างรวดเร็ว การมี DNS กระจายทางภูมิศาสตร์ไม่ใช่ข้อกำหนดสำหรับเราในขณะนี้เนื่องจากเว็บเซิร์ฟเวอร์ทั้งหมดอยู่ในไซต์เดียวกัน


2
อีเมลของคุณโฮสต์อยู่ที่ไซต์นั้นด้วยหรือไม่ โปรดทราบว่าหากคุณสูญเสียการเชื่อมต่อที่นั่นและอีเมลอยู่นอกเครือข่ายนั้นระเบียน MX ของคุณจะหายไปและอีเมลจะหยุดทำงานแม้ว่าจะอยู่ที่อื่นก็ตาม หากอยู่ที่ไซต์เดียวกันเช่นกันไม่ใช่เรื่องใหญ่ แต่ฉันเคยเห็นข้อโต้แย้งนี้สลายเพราะหลายครั้งในอดีต
Justin Scott

1
ใช่พวกนั้นกำลังซ่อนอีเมลของพวกเขาในเว็บไซต์เดียวกัน (ฉันไม่ได้อยู่ที่ บริษัท นั้นอีกแล้ว)
mrdenny

2

ฉันมีสิ่งที่ดีที่สุดของโลกทั้งสอง.

ฉันโฮสต์ DNS สาธารณะของฉันสำหรับเว็บไซต์ของฉันและระเบียน MX ของฉัน "ที่อื่น" มันมีความน่าเชื่อถือปลอดภัยใช้งานได้ฉันสามารถแก้ไขได้ตามต้องการ ฉันจ่ายค่าบริการและฉันมีความสุขกับค่า

แต่ที่บ้านฉันใช้เซิร์ฟเวอร์ DNS แคชของตัวเองมากกว่าพึ่งพา ISP ของฉัน ISP ของฉันมีนิสัยเสีย DNS, มี DNS ช้า, DNS ไม่ถูกต้องและบางครั้งพวกเขาต้องการบิดเบือน DNS เพื่อให้ความล้มเหลวไปยังสถานที่ที่พวกเขาคิดว่าฉันอาจสนใจฉันไม่สนใจใช้ ISP ของ ISP ดังนั้นฉันมีเซิร์ฟเวอร์ DNS ของตัวเองแคชและทำเอง มันเป็นความพยายามเล็กน้อยในการเริ่มต้น (อาจจะ 2 ชั่วโมง) แต่มันสะอาดและฉันมี DNS ที่เชื่อถือได้ งาน cron เดือนละครั้งตรวจสอบเซิร์ฟเวอร์รูทและรีเฟรชตารางคำแนะนำ อาจจะปีละครั้งฉันต้องทำเล่น ๆ กับมันเช่นส่ง doubleclick.com ไปที่ 127.0.0.1 หรือคล้ายกัน นอกจากนั้นมันไม่จำเป็นต้องมีการแทรกแซงและใช้งานได้ดี


ปัญหาเกี่ยวกับ DNS ของบุคคลที่สามคือหากเว็บไซต์ไม่ทำงานแม้ว่าเว็บไซต์ของคุณจะหยุดทำงานผู้คนจะไม่สามารถเข้าถึงโดเมนของคุณได้ (มากเหลือเกินสำหรับความซ้ำซ้อน!)
cnst

2

หากคุณตัดสินใจที่จะโฮสต์ DNS ของคุณสำหรับความรักของพระเจ้ามีสองเซิร์ฟเวอร์ DNS ต่อเว็บไซต์ หนึ่งรายการสำหรับ DNS ภายนอกของคุณเชื่อมต่อโดยตรงกับไฟร์วอลล์เพื่อให้คนทั่วโลกค้นพบคุณ และแยกหนึ่งภายในเครือข่ายของคุณสำหรับ DNS ภายในของคุณ


การปฏิบัตินี้เรียกว่าเส้นขอบฟ้า อาจไม่สามารถใช้ได้กับการตั้งค่าส่วนใหญ่อย่างตรงไปตรงมาและค่อนข้างล้าสมัยนอกองค์กรขนาดใหญ่มาระยะหนึ่งแล้ว
cnst

@cnst Split-horizon (หรือ split-view) ให้บริการโซนต่าง ๆ ภายใต้ชื่อโดเมนเดียวกันและ XTZ ไม่ได้บอกว่าเขาแนะนำ เซิร์ฟเวอร์ภายในมักจะให้บริการชื่อโดเมนอื่น (อาจเป็นโดเมนย่อย)
kubanczyk

2

ฉันยังไม่สามารถแสดงความคิดเห็น แต่ฉันทำเช่นเดียวกับ freiheit เราเรียกใช้ DNS หลักของเราที่นี่ใน DMZ ของเราและ ISP ของเรามีเซิร์ฟเวอร์ DNS ทาสหลายแห่งทั่วประเทศซึ่งอัปเดตทันทีหลังจากเราทำการเปลี่ยนแปลงที่ DNS หลัก

มันให้สิ่งที่ดีที่สุดของทั้งสองโลก การควบคุมทันทีรวมถึงการ redunancy


2

มีข้อดีข้อเสียของแต่ละวิธี แต่ฉันชอบโฮสต์ DNS ภายในของคุณอย่างแน่นอน รายการสิ่งที่คุณเชื่อถือได้สำหรับบริการเครือข่ายพื้นฐานหากคุณให้บริการจากภายนอกคือความสามารถที่จะเชื่อได้ CEO อาจคิดว่าฉลาดในการประหยัดเงินบนเซิร์ฟเวอร์ DNS ด้วยการโฮสต์จากภายนอก แต่เขาจะคิดอย่างไรเมื่อเขาไม่ได้รับอีเมลของเขาหากการเชื่อมต่ออินเทอร์เน็ตลดลง


คำตอบที่ดี +1! กรอไปข้างหน้าถึงปี 2560 คุณยังคิดว่า DNS ภายในเป็นวิธีที่จะไปไหม :-)
cnst

1
@cnst ffwd ถึง 2017 ฉันไม่มีประสบการณ์เพียงพอที่จะให้คำแนะนำได้อีกต่อไป
Maximus Minimus

2

จากประสบการณ์หากคุณต้องการดึงดูดการปฏิเสธการโจมตีบริการโฮสต์ DNS ของคุณเอง และเว็บไซต์ของคุณเอง

ฉันเชื่อในสิ่งที่คุณไม่ควรทำด้วยตัวเอง การโฮสต์ DNS เป็นหนึ่งในนั้น เช่นเดียวกับที่หลายคนพูดคุณจะต้องใช้เซิร์ฟเวอร์การเชื่อมต่อและตำแหน่งทางกายภาพซ้ำซ้อนและคุณจะไม่เข้าหาความยืดหยุ่นของ บริษัท โฮสติ้งขนาดเล็ก

ประโยชน์ที่ใหญ่ที่สุดในการโฮสต์ DNS ของคุณคือการเปลี่ยนแปลงสามารถทำได้ทันที ต้องการตัดทอน TTL ของคุณเพื่อการโยกย้ายที่กำลังจะมาถึงใช่ไหม คุณอาจจะเขียนสคริปต์ที่ทำบนเซิร์ฟเวอร์ของคุณเอง สำหรับโฮสต์ DNS คุณอาจต้องลงชื่อเข้าใช้และเปลี่ยนระเบียนด้วยตนเองหรือแย่กว่านั้นเรียกผู้ให้บริการผ่านการสนับสนุน 3 ระดับจนกระทั่งคุณเข้าถึงผู้ที่สามารถสะกด DNS ได้ในที่สุดเพื่อบอกให้พวกเขาทราบว่าพวกเขาจะส่ง การเปลี่ยนแปลงใน 2-3 วัน


2

ฉันใช้งาน DNS ของตัวเองโดยใช้ BIND บนเซิร์ฟเวอร์ Linux ขณะนี้ฉันมีที่อยู่สี่แห่งในลอนดอนสหราชอาณาจักรไมอามีฟลอริด้าซานโฮเซ่และสิงคโปร์ ใช้งานได้ดีและฉันมีการควบคุมที่สมบูรณ์ ความเสถียรของศูนย์ข้อมูลมีความสำคัญมากดังนั้นฉันจึงเลือกดีซีเพื่อใช้งานเซิร์ฟเวอร์ (ไม่พึ่งพา ISP หรือโครงสร้างพื้นฐานที่ 'ไม่รู้จัก') ฉันสามารถตั้งค่าเซิร์ฟเวอร์ DNS และบริการอื่น ๆ ที่ใดก็ได้ในโลกโดยใช้ DC ระดับโลกที่ฉันเลือกตามเกณฑ์ที่เข้มงวด Rock solid DNS เป็นสิ่งจำเป็นสำหรับบริการอีเมลและเว็บที่ฉันใช้


ฮ่า ๆ ชิ้นโฆษณาที่ยอดเยี่ยมฉันขอหมายเลขแผนกการตลาดและผู้ทำสำเนาได้ไหม ฉันกำลังทำเครื่องหมายว่าเป็นผู้สมัครสแปมที่ชัดเจน แต่ในเวลาเดียวกันฉันจะไม่แปลกใจเลยถ้าธงนี้ถูกปฏิเสธเช่นกัน!
cnst

2

เราควรโฮสต์เซิร์ฟเวอร์ชื่อของเราเอง?

ใช่และคุณควรใช้ผู้ให้บริการ DNS บุคคลที่สามรายใหญ่หนึ่งรายการ โซลูชันแบบไฮบริดน่าจะเป็นแนวทางระยะยาวที่ปลอดภัยที่สุดด้วยเหตุผลหลายประการโดยเฉพาะอย่างยิ่งถ้าคุณเป็นธุรกิจที่มี SLA หรือความต้องการตามสัญญากับลูกค้าของคุณ มากยิ่งขึ้นดังนั้นถ้าคุณเป็น b2b

หากเซิร์ฟเวอร์ DNS หลักของคุณ (ซ่อนหรือสาธารณะ) เป็นแหล่งที่มาของความจริงของคุณคุณจะป้องกันตัวเองจากการถูกล็อคเข้ากับความสามารถเฉพาะของผู้ขาย เมื่อคุณเริ่มใช้คุณสมบัติที่ดีเกินกว่า DNS พื้นฐานคุณอาจพบว่าการเปลี่ยนไปใช้ผู้ให้บริการรายอื่นหรือการโฮสต์ DNS ของคุณเองนั้นเป็นปัญหาเพราะตอนนี้คุณต้องทำซ้ำความสามารถเหล่านั้น ตัวอย่างจะเป็นการตรวจสอบสภาพของไซต์และ DNS ล้มเหลวที่ Dyn และ UltraDNS จัดเตรียม คุณสมบัติเหล่านั้นยอดเยี่ยม แต่ควรพิจารณาแบบครั้งเดียวและไม่ใช่การพึ่งพา คุณลักษณะเหล่านี้ยังทำซ้ำได้ไม่ดีจากผู้ให้บริการไปยังผู้ให้บริการ

หากคุณมีผู้ให้บริการบุคคลที่สามเท่านั้นสถานะการออนไลน์ของคุณอาจได้รับผลกระทบเมื่ออยู่ภายใต้การโจมตี DDoS เป้าหมาย หากคุณมีเซิร์ฟเวอร์ DNS ของตัวเองเท่านั้นสถานะการออนไลน์ของคุณอาจได้รับผลกระทบเมื่อคุณเป็นเป้าหมายของการโจมตี DDoS

หากคุณมีผู้ให้บริการ DNS ตั้งแต่หนึ่งรายขึ้นไปและเซิร์ฟเวอร์ DNS แบบกระจายของคุณเองซึ่งเป็นผู้ควบคุมเซิร์ฟเวอร์ DNS หลักที่ซ่อนอยู่ที่คุณควบคุมคุณจะต้องแน่ใจว่าคุณไม่ได้ล็อคผู้ขายรายใดรายหนึ่งและควบคุมโซนของคุณตลอดเวลา การโจมตีต้องทำลายทั้งเซิร์ฟเวอร์ของคุณและผู้ให้บริการหลักอย่างน้อยหนึ่งรายที่เป็นทาสของเซิร์ฟเวอร์ของคุณ สิ่งใดก็ตามที่สั้น ๆ นั่นก็คือการเสื่อมสภาพของการบริการเทียบกับการหยุดทำงานที่สำคัญ

ข้อดีอีกประการของการมีเซิร์ฟเวอร์ของคุณ (ซ่อนอยู่ไม่ได้เผยแพร่) คือคุณสามารถสร้าง API ของคุณเองและอัปเดตพวกเขาในทุกสิ่งที่เหมาะกับความต้องการทางธุรกิจของคุณ ด้วยผู้ให้บริการ DNS บุคคลที่สามคุณจะต้องปรับให้เข้ากับ API ของพวกเขา ผู้ค้าแต่ละรายมีของตนเอง หรือในบางกรณีก็มี UI ของเว็บ

ยิ่งถ้าเจ้านายของคุณอยู่ภายใต้การควบคุมของคุณและผู้ขายมีปัญหาแล้วเซิร์ฟเวอร์ทาสใด ๆ ของคุณที่ยังคงสามารถเข้าถึงต้นแบบของคุณจะได้รับการอัปเดต นี่คือสิ่งที่คุณจะต้องการหลังจากที่คุณรู้ว่าการมีบุคคลที่สามเนื่องจากเจ้านายของคุณเป็นข้อผิดพลาดระหว่างเหตุการณ์ DDoS ขนาดใหญ่และคุณไม่สามารถเปลี่ยนเซิร์ฟเวอร์ใด ๆ ของผู้ให้บริการที่ไม่ถูกโจมตีได้

จากมุมมองทางกฎหมายการป้องกันการล็อคอินของผู้ขายอาจมีความสำคัญต่อธุรกิจของคุณ ตัวอย่างเช่น Oracle อาจมีการซื้อโดย Oracle สิ่งนี้ทำให้พวกเขาอยู่ในตำแหน่งที่ไม่ซ้ำกันเพื่อรวบรวมสถิติ DNS กับลูกค้าทั้งหมดของ Dyn มีการแข่งขันด้านนี้ที่อาจนำความเสี่ยงทางกฎหมาย ที่กล่าวว่าฉันไม่ได้เป็นทนายความดังนั้นคุณควรปรึกษาทีมกฎหมายและประชาสัมพันธ์ของคุณเกี่ยวกับเรื่องนี้

มีแง่มุมอื่น ๆ อีกมากมายสำหรับหัวข้อนี้หากเราต้องการขุดเข้าไปในวัชพืช

[แก้ไข] หากนี่เป็นเพียงโดเมนส่วนบุคคล / งานอดิเรกขนาดเล็กดังนั้น VM 2 เครื่องที่ไม่ได้อยู่ในดาต้าเซ็นเตอร์เดียวกันซึ่งกันและกันการใช้ DNS daemon ขนาดเล็กก็เพียงพอแล้ว ฉันทำเพื่อโดเมนส่วนตัวของฉันเอง ไม่ชัดเจนสำหรับฉันหากโดเมนของคุณหมายถึงธุรกิจหรือเพื่องานอดิเรก ไม่ว่า VM ที่เล็กที่สุดที่คุณจะได้รับนั้นมีมากเกินพอ ฉันใช้ rbldnsd สำหรับโดเมนของฉัน ใช้ TTL สูงมากในบันทึกของฉันเนื่องจากมันใช้หน่วยความจำสูงถึง 900 KB และสามารถจัดการกับคนที่ไม่เหมาะสมได้


นี่เป็นคำตอบที่ดีพอสมควรใครจะให้ -1 ได้โปรดอธิบายตัวเองด้วย?
cnst

คะแนนที่ดีสองประการเกี่ยวกับ API และการรวม บริษัท ผู้ขาย DC สองตัวนั้นใช้ได้ แต่ต้องทราบว่ามี ISP แยกต่างหากสำหรับแต่ละรายการไม่ใช่ ISP เดียวกัน
kubanczyk

จุดดี @kubanczyk ลิงก์ muiltiple ingres สำหรับการตรวจสอบความล้มเหลวและการตรวจสอบสุขภาพโดยอัตโนมัติ
แอรอน

1

คิดว่าการโฮสต์ DNS เป็นพื้นฐานสำหรับบริการสาธารณะของคุณ ในกรณีอีเมลของฉันมีความสำคัญต่อธุรกิจของเรา หากคุณโฮสต์ DNS ภายในและการเชื่อมต่ออินเทอร์เน็ตของคุณทำให้ระเบียน DNS ของคุณไม่ปลอดภัยอาจทำให้โดเมนของคุณไม่พร้อมใช้งาน

ดังนั้นในกรณีของฉันหากไม่พบระเบียน MX สำหรับโดเมนของเราอีเมลจะถูกปฏิเสธทันที

ดังนั้นฉันมีโฮสต์ DNS ของเราจากภายนอก

หากระเบียน MX พร้อมใช้งาน แต่การเชื่อมต่ออินเทอร์เน็ตของเราไม่ทำงานจดหมายจะยังคงอยู่ในคิวบนเซิร์ฟเวอร์ที่พยายามส่งอีเมลไปยังโดเมนของเรา


ฉันไม่คิดว่านี่เป็นเรื่องจริงที่เกี่ยวกับMXบันทึก ในความเป็นจริงมันเป็นหนึ่งในความเข้าใจผิดเอกสารที่cr.yp.to/djbdns/third-party.html
cnst

0

มันขึ้นอยู่กับ

ฉันใช้เซิร์ฟเวอร์ของตัวเองและจัดการโดเมนมาตั้งแต่อย่างน้อยปี 2002

ฉันมักจะใช้เซิร์ฟเวอร์ DNS ของผู้ให้บริการของฉัน

จำนวนครั้งที่เซิร์ฟเวอร์ของฉันที่ IP ของฉันพร้อมใช้งาน แต่ DNS ของฉันไม่ได้มีจำนวนมากเกินไป

นี่คือเรื่องราวสงครามของฉัน:

  • ผู้ให้บริการหนึ่งในมอสโก (หนึ่งในคนแรกที่ใช้ VZ) มี VPS ของฉันในราคา "คุ้มค่า" DC แต่ DNS ของพวกเขาอยู่ใน DC ที่ทันสมัยซึ่งมีปริมาณการใช้งานสูง subnets ที่แตกต่างกัน / 24 ตามที่ TLD ต้องการในเวลานั้น จนถึงจุดหนึ่งภัยพิบัติได้รับความเสียหาย ( ไฟฟ้าดับในปี 2005? ) และ DC ราคาแพงของพวกเขาก็ออฟไลน์และเว็บไซต์ของฉัน (ยังอยู่ในมอสโก แต่ใน "ค่า" DC) สามารถเข้าถึงได้โดยที่อยู่ IP เท่านั้น

    ที่น่าสนใจก่อนเกิดเหตุการณ์ใด ๆ ฉันจำได้ว่าทำอย่างชัดเจนtracerouteและสังเกตเห็น DC เดียวกันสำหรับทั้งคู่ns1และns2ISP ของฉันขอให้พวกเขาย้ายหนึ่งไปที่ DC ของฉันด้วยสำหรับความซ้ำซ้อนทางภูมิศาสตร์ พวกเขาไม่สนใจแนวคิดเรื่องความซ้ำซ้อนทางภูมิศาสตร์เนื่องจากเซิร์ฟเวอร์มีอยู่ใน DC แบบพรีเมี่ยมมากที่สุดแล้ว

  • ฉันมีผู้ให้บริการรายอื่น (เป็นรายแรกของ ISP) ที่พวกเขามีหนึ่งในสถานที่และอีกแห่งหนึ่งในต่างประเทศ เรื่องสั้นสั้นการตั้งค่าทั้งหมดเป็นเรื่องน่าขันและเซิร์ฟเวอร์ "ในต่างประเทศ" มักจะล้มเหลวในการดูแลโซนดังนั้นโดเมนของฉันจึงมีจุดที่ล้มเหลวเป็นพิเศษและไม่สามารถเข้าถึงได้แม้ว่าเซิร์ฟเวอร์ทั้งหมดของฉันจะทำงานได้อย่างราบรื่น

  • ฉันมีนายทะเบียนที่ดูแลเครือข่ายของตัวเอง มันลงไปเรื่อย ๆ แม้ว่าเซิร์ฟเวอร์ภายนอกของฉันจะอัพ DNS ของฉันไม่ทำงาน

  • ฉันเพิ่งใช้ผู้ให้บริการคลาวด์ขนาดใหญ่หลายแห่งสำหรับผู้ใช้รองซึ่งฉันเองก็ใช้ต้นแบบที่ซ่อนอยู่ ผู้ให้บริการทั้งสองเปลี่ยนการตั้งค่าอย่างน้อยหนึ่งครั้ง ไม่เคยมีประกาศสาธารณะใด ๆ บางโดเมนของฉันหยุดการแก้ไข เกิดขึ้นกับเพื่อนของฉันด้วยกับผู้ให้บริการรายเดียวกัน สิ่งนี้เกิดขึ้นบ่อยครั้งขึ้นกับบริการของบุคคลที่สามมากกว่าคนที่จะยอมรับในที่สาธารณะ

กล่าวโดยย่อคือhttp://cr.yp.to/djbdns/third-party.htmlถูกต้องอย่างแน่นอนในหัวข้อ

ค่าใช้จ่ายในการที่ต้องคอยกังวลกับ DNS บุคคลที่สามมักจะไม่คุ้มค่ากับผลประโยชน์

ข้อเสียของการมี DNS บุคคลที่สามมักถูกมองข้ามอย่างไม่เป็นธรรม

ฉันจะบอกว่าหากโดเมนของคุณใช้บริการของบุคคลที่สามอยู่แล้ว (เช่นสำหรับเว็บจดหมายเสียงหรือข้อความ) จากนั้นการเพิ่ม DNS ของบุคคลที่สามจะเป็นการต่อต้านตลอดเวลาและจะไม่เป็นแนวปฏิบัติที่ดีที่สุดในทุกสถานการณ์ .

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.