Vraag Moeten we onze eigen naamservers hosten?


Dit is een Canonical Question over het al dan niet uitbesteden van DNS-resolutie voor uw eigen domeinen

Ik laat mijn ISP momenteel DNS voor mijn domein leveren, maar deze legt beperkingen op aan het toevoegen van records. Daarom denk ik erover om mijn eigen DNS te runnen.

Wilt u liever uw eigen DNS hosten, of is het beter om uw ISP dit te laten doen?

Zijn er alternatieven waar ik naar kan kijken?


89
2018-06-10 22:46


oorsprong


Naast de antwoorden hieronder, is ervaring ook belangrijk. Er zijn veel fouten die je maakt zullen maak als een beginnende DNS-beheerder een goede mentor of een oogopslag voor documentatie. (boeken en RFC's, niet HOWTO's) Fouten gemaakt bij de gezaghebbende DNS-laag veroorzaken uitval zelfs als de rest van je netwerk in orde is. - Andrew B
Lees ook de bijbehorende V & A Waarom is geo-redundante DNS zelfs nodig voor kleine sites? - HBruijn


antwoorden:


Ik zou mijn eigen DNS-server niet uitvoeren - in mijn geval biedt het hostingbedrijf dat mijn website host gratis een DNS-service. Er zijn ook alternatieven, bedrijven die niets anders doen dan DNS-hosting (DNS Made Easy komt voor de geest, maar er zijn nog veel meer) waar je waarschijnlijk naar moet kijken.

De reden dat ik het zelf niet zou doen, is dat DNS redelijk betrouwbaar is, en tenzij je een geografisch verdeeld netwerk van eigen servers hebt, zou je al je eieren in één mand stoppen, om zo te zeggen. Er zijn ook genoeg dedicated DNS-servers, genoeg om een ​​nieuwe te starten.


63
2018-06-10 22:55



+1 voor DNS Made Easy. Ze hebben een geactualiseerd update-record van 100.0% gedurende de afgelopen 7 jaar. - Portman
Ik dacht dat ik een briefje zou neerzetten. Vandaag kregen we eindelijk genoeg van waardeloze DNS van onze huidige provider, overgestapt op DNS Made Easy op basis van de aanbeveling hier, en het is fan-bloederig-tastic. Hou ervan. Ik wou dat ik het jaren geleden al had gedaan. - Mark Henderson♦
Is dit niet de reden waarom er voor elke invoer een primaire en secundaire server is? Ik heb nooit een glitch gehad als de primaire, en de secundaire als mijn registrar; Ik bedoel, ik heb een glitch gehad op primary, maar niemand merkte het omdat er een betrouwbare secondary was. - dlamblin
Natuurlijk, daar is niets mis mee als je echt om een ​​of andere reden je eigen DNS-server wilt draaien. Maar voor de rest, als je toch een derde partij gaat betalen voor DNS-hosting (om een ​​secundaire partij te zijn), kun je er net zo goed mee omgaan. Ik denk dat voor de meeste mensen een DNS-server meer problemen oplevert dan het waard is. - David Z
DNS Made Easy heeft eigenlijk een netwerk van servers verspreid over verschillende continenten. En ze gebruiken anycast-routering. Hun redundantie is dus belachelijk, ruim boven de conventionele configuratie met twee servers (primaire en secundaire). Maar in theorie betekent dat ook dat computers over de hele wereld een snelle DNS-resolutie krijgen. - Steve Wortham


We hosten altijd onze eigen DNS (liefst omgekeerde DNS ook). Dit stelt ons in staat om noodwijzigingen aan te brengen zonder afhankelijk te zijn van een derde partij. Als u meer dan één locatie hebt, is het eenvoudig om een ​​aanvaardbaar niveau van redundantie in te stellen voor uw DNS-servers.

Als u niet over meerdere sites beschikt, zou ik iemand overwegen die specifiek DNS-hosting doet (NIET uw ISP) met een webinterface voor wijzigingen. Kijk ook voor 24x7 ondersteuning en fatsoenlijke SLA's.


27
2018-06-10 22:54



Overweeg bij het overwegen van outsourcing ook wat voor soort DDoS-bescherming of -verzwakking ze hebben. DNS-providers worden de hele tijd aangevallen en sommige kunnen blijven draaien zonder te zweten en anderen zullen kruimelen in een stapel kruimels bij de geringste piek in het verkeer, dus wees moe van outsourcing, tenzij het een gerenommeerde provider is met veel servers die zijn ingezet met anycast-routering ingeschakeld. - Justin Scott
Ik stond op het punt om (met veel enthousiasme!) Op te staan, gebaseerd op je persoonlijke ervaring in de eerste zin, maar dan stel je voor om een ​​derde partij service in de tweede zin te gebruiken, wat in feite betekent dat er een extra onnodig faalpunt wordt toegevoegd voor weinig tot geen voordeel. : / Sad. - cnst


Voor een goede, betrouwbare DNS-instelling voor uw domein (en), moet u ...

  • Een minimum van twee authoratieve DNS-servers voor uw domein;
  • De DNS-servers moeten verbonden zijn met verschillende fysieke netwerken en voedingen;
  • De DNS-servers moeten zich in verschillende geografische gebieden bevinden.

Aangezien het onwaarschijnlijk is dat u toegang hebt tot de bovenstaande netwerkinfrastructuur, kunt u beter een gerenommeerde DNS-hostingprovider kiezen (zoals anderen hebben aanbevolen) met de bovenstaande netwerkinfrastructuur.


18
2018-06-11 01:30



Moeilijk om niet overtuigd te raken wanneer je het zo stelt. - Filip Dupanović
Dit is een geweldige samenvatting van de consensus in de branche, geen enkele. (Je weet wel, de industrie die zijn geld verdient met dure, overontwikkelde oplossingen die misschien niet eens echt kloppen.) - cnst


Vele jaren heb ik zonder enige moeite mijn eigen DNS-servers met behulp van BIND (versie 8 en 9) uitgevoerd. Ik bewaarde mijn configuraties binnen versiebeheer met post-commit-controles die de zonebestanden zouden valideren en vervolgens mijn DNS-servers op gezette tijden de zonebestanden laten uitchecken. Het probleem was altijd om ervoor te zorgen dat het SOA-serienummer werd bijgewerkt met elke commit die werd uitgeschakeld, anders zouden caching-servers niet worden bijgewerkt.

Jaren later werkte ik met djbdns omdat het formaat ideaal was om geautomatiseerde scripts te hebben om de zones te beheren en had ik niet te lijden onder dezelfde SOA-nummeraantekening die ik had te maken met het gebruik van BIND. Het had echter zijn eigen problemen met het moeten opmaken van bepaalde bronrecordsets om ze geaccepteerd te krijgen.

Ik merkte dat veel van mijn verkeer DNS was en zowel een primaire als secundaire DNS-server moest onderhouden om de registrars tevreden te stellen die ik sindsdien heb gebruikt EasyDNS voor mijn DNS-behoeften. Hun webinterface is eenvoudig te beheren en geeft me de flexibiliteit die ik nodig heb om mijn RR-sets te beheren. Ik vond het ook gemakkelijk om mee te werken dan die van sommige hostingproviders zoals 1 & 1 dat beperkt de beschikbare RR-sets die u kunt invoeren, of zelfs domeinregistreerders zoals Netwerk oplossingen welke alleen werkt als je Windows gebruikt om je DNS te beheren.


13
2018-06-11 01:14



Dit is een goed, eerlijk antwoord, maar het klinkt alsof u uzelf misschien bedriegt in de degelijkheid van uw oplossing - door EasyDNS te gebruiken, maakt u het uw enige punt van mislukking; uw site kan volledig operationeel zijn, maar uw namen kunnen mogelijk niet worden opgelost mocht uw externe provider een storing of een DDoS hebben die gericht is op een van zijn klanten. - cnst


Voor mijn persoonlijke domeinen (en een paar domeinen van mijn vrienden help ik mee), hosten we onze eigen DNS en mijn registrar (Gandi) levert secundaire DNS. Of een vriend op een ander netwerk biedt secundaire. Gandi werkt de zones niet onmiddellijk bij, ze lijken ongeveer elke 24 uur te controleren, maar veranderingen zijn zeer zeldzaam; werkt goed genoeg voor ons, en hun server is waarschijnlijk veel betrouwbaarder dan de onze.

Op mijn werk doen we onze eigen DNS en onze upstream netwerkprovider biedt secundaire DNS. We zijn echter een universiteit en 99% van onze gebruikers zijn on-site; als het lokale netwerk niet werkt, maakt het niet uit of DNS niet werkt. We hebben ook een volledige klasse B (/ 16) met ongeveer 25 k DNS-records (plus natuurlijk 25 k omgekeerde DNS-records), wat een beetje lastig lijkt om via een webinterface te beheren. Onze lokale DNS-servers zijn zeer beschikbaar en veel snel.


8
2018-06-10 23:23



We doen hetzelfde hier. We hebben twee Linux-boxen met BIND (de een na de ander sec), en onze 'ISP' voert ook secundaire DNS uit. - l0c0b0x
Idem dito. Ook met klasse B, ook met onze eigen BIND DNS-servers. En wanneer we DNS-problemen hebben, is dit meestal met onze off-site;) - sysadmin1138♦
Goed antwoord; dit is mijn favoriete antwoord voor deze vraag tot nu toe, omdat het eigenlijk gebaseerd is op zowel degelijke engineeringpraktijken als een realistische inschatting van beschikbare redundantie en beschikbaarheid, evenals persoonlijke ervaring; terwijl zoveel andere antwoorden simpelweg hun favoriete externe DNS-provider vermelden, of de briefs die zijn geschreven door mensen met een duidelijk belangenconflict, blind kopiëren om extra geld te verdienen aan de overontwikkelde oplossingen die zij voorstellen. - cnst


Ik heb beide gedaan. Er kunnen voordelen zijn bij het hosten van je eigen: je leert zeker veel over hoe DNS werkt wanneer je baas je vraagt ​​waarom het zo lang duurt. Bovendien heb je veel meer controle over je zones. Dit is niet altijd zo krachtig als het zou moeten zijn, grotendeels als gevolg van de hiërarchische gedistribueerde aard van DNS - maar af en toe komt het goed van pas. Ten tweede, dus als u uw provider kunt krijgen om u toe te wijzen als de SOA voor de omgekeerde DNS van uw IP-blok, ervan uitgaande dat u er een hebt.

Echter, alle opmerkingen hierboven over hoe je echt een heleboel faalweerstand moet hebben die hierboven is ingebouwd, zijn echt waar. Servers in verschillende datacenters in verschillende geografische gebieden zijn belangrijk. Door de massale stroomuitval in het noordoosten in 2003 - we hebben allemaal geleerd dat een doos in twee verschillende datacenters in dezelfde stad, of zelfs provincie of staat, niet per se voldoende bescherming biedt. De opgetogenheid die begint wanneer je je batterijen realiseert en vervolgens dieselgeneratoren die je billen hebben bespaard, wordt snel vervangen door de angst die veroorzaakt wordt door het besef dat je nu op je reserveband rijdt.

Ik voer echter altijd onze interne DNS-server voor het LAN uit. Het kan erg handig zijn om volledige controle te hebben over de DNS die uw netwerk intern gebruikt - en als de stroom uitvalt in uw kantoor, is uw interne DNS-server vanwege zijn aanwezigheid in het serverrack waarschijnlijk op een batterij of batterij en diesel, terwijl je pc dat niet doet - dus je klanten zullen offline zijn lang voordat de server is.


5
2018-06-11 02:06





Ik lees al deze oplossingen met enig vermaak, omdat we per ongeluk in al deze "vereisten" konden voorzien door onze primaire DNS van een statische DSL-lijn te hosten en de registrar (die zich op een ander continent bevond) een secundaire DNS op een veel meer serieuze en betrouwbare verbinding. Op deze manier krijgen we alle flexibiliteit bij het gebruiken van bind en het instellen van alle records terwijl we er redelijk zeker van zijn dat het secundaire wordt bijgewerkt om deze wijzigingen te weerspiegelen en beschikbaar zal zijn in het geval een mangat in brand vliegt, om een ​​gebeurtenis aan te halen.

Dit voldoet effectief aan:
"Een minimum van twee gezaghebbende DNS-servers voor uw domein;"
"De DNS-servers moeten verbonden zijn met verschillende fysieke netwerken en voedingen;"
"De DNS-servers moeten zich in verschillende geografische gebieden bevinden."


4
2017-09-14 07:56



Dit is zeker een feelgood-benadering; maar als een mangat in brand vliegt en je hele infrastructuur uitvalt, zonder DNS, wat heeft het dan voor zin dat de DNS nog steeds beschikbaar is, wanneer geen van de servers kan worden gecontacteerd? :-) Ik denk dat het in de steek laten van secundaire DNS-licenties alleen zinvol is als je zelf ook andere diensten uitbesteedt aan andere derde partijen. - cnst
@cmst Het punt is dat wanneer dns down is, iedereen die je een e-mail stuurt, een onmiddellijk probleem ziet (klanten? partners? zeer slechte publiciteit). Als de dns werkt en de mailserver een paar uur niet werkt, merken ze meestal niets. - kubanczyk
@cmst DNS is niet beperkt tot het verwijzen naar servers op mijn persoonlijke netwerk. Ik kan IP's overal een naam geven. Misschien heb ik misschien een naam voor alle NAT-boxen van mijn medewerkers / vrienden in het thuisnetwerk. Of ik zou andere recordtypen kunnen gebruiken en iets openbaar kunnen identificeren / verifiëren. - dlamblin


Kijk eens naar Dyn.com; ze hebben allerlei DNS-gerelateerde services zoals DNS-hosting, dynamische DNS, MailHop, enz. Ik heb ze betrouwbaar gevonden en heb ze waarschijnlijk 5 jaar gebruikt.


4
2018-06-10 23:17



+1, ik heb DynDNS nu ongeveer 2 jaar gebruikt en ben helemaal tevreden met hun service. - cdmckay
Dyn.com was vóór 2013 dynDNS. - Knox


Het hangt er van af.

Sinds de late jaren 80 heb ik mijn eigen DNS voor mijn verschillende taken (BSD 4.3c). Voor werk heb ik altijd mijn eigen DNS gehost, maar ik heb altijd meerdere datacenterlocaties gehad of kon secundaire DNS uitwisselen met een partner. Bijvoorbeeld, bij mijn laatste baan hebben we secundaire DNS gedaan voor een andere .EDU (ze waren in MN, we zijn in CA), en ze deden hetzelfde voor ons. Geografische en netwerkdiversiteit.

Of, op mijn huidige baan hebben we onze eigen datacenters aan de oost- en westkust (VS). Met het hosten van onze eigen DNS kunnen we alle ongebruikelijke DNS-records plaatsen die we misschien nodig hebben (SVR, TXT, enz.) Die mogelijk niet wordt ondersteund door een aantal GUI DNS-services. En we kunnen TTL's veranderen wanneer we maar willen; we hebben vrijwel ultieme flexibiliteit, ten koste van het zelf doen.

Voor thuis dingen, ik heb het op beide manieren gedaan. Voor sommige domeinen waar ik ongewone dingen aan het doen ben, of veel flexibiliteit nodig heb, voer ik nog steeds mijn eigen "verborgen" hoofd-DNS-servers uit en wissel ik openbare DNS-services uit met anderen die hetzelfde doen. Ik gebruik RCS voor versiebeheerzonebestanden voor configuratiebeheer, zodat ik de hele geschiedenis van zoneveranderingen kan zien terug naar het begin van de tijd. Voor eenvoudige dingen zoals een domein met een enkele blog of generieke webservers (een A-record of een CNAME), is het gewoon gemakkelijker om de DNS-service van een domeinregistrator te gebruiken waar beschikbaar en nu zorgen te maken over CM.

Het is een afweging. Ultieme controle en flexibiliteit komen ten koste van het omgaan met diversiteit op uw eigen, het uitvoeren van meerdere servers, het omgaan met hardware / softwarefouten, enz. Als u de flexibiliteit of totale controle niet nodig hebt, dan zullen alle DNS-providers van het hoogste niveau los uw probleem op, waarschijnlijk tegen lagere totale kosten.


3
2018-06-11 05:27



Hoewel het waar is dat het eenvoudiger is om simpelweg de DNS van de registrar te gebruiken, is het niet heel ongewoon dat de DNS van een registrar niet werkt, terwijl zowel het domeinregister als uw eigen host actief zijn, maar uw site niet beschikbaar is, omdat je gemakshalve een extra uitvalpunt aan je setup hebt toegevoegd. Het is echt niet zo moeilijk om je eigen DNS te runnen; vooral tegenwoordig met de overvloed aan lichtgewicht en eenvoudig te gebruiken servers. - cnst


Zoals al in deze thread wordt vermeld, zijn er verschillende speciale gevallen met DNS, het belangrijkste verschil is tussen authoritatieve en caching-nameservers.

  1. Als u een DNS-server nodig hebt om internetbronnen op te lossen, is een aantal gratis verzilverde DNS-resolver een verstandige keuze. Ik gebruik persoonlijk de PowerDNS-recursor (pdns-recursor) op Linux.

  2. Voor het onderhoud van uw externe infrastructuur, zoals websites of MX's, zou ik geen interne NSes gebruiken (als we het hier hebben over SOHO). Gebruik een aantal goede, betrouwbare, kogelvrije diensten zoals DNSmadeasy. Ik gebruik hun zakelijke pakket en het rockt terwijl het zeer betaalbaar is.


3
2018-06-11 08:44



Veel mensen onderschrijven ook de visie van een DJB van nooit uitvoeren van een DNS-cache (de recursieve resolver) op hetzelfde systeem als een dienende DNS (de opslag van het zonebestand). Dit is om veiligheidsredenen, dus de gaten in de ene hebben geen invloed op de andere en andersom. - kubanczyk


Ik heb Zonedit of jaren gebruikt. Het is goedkoop (of gratis) en ik heb veel CNAME-, A-, MX-, TXT-, SRV- en andere records toegevoegd.


2
2018-06-10 22:52