Frage Sollten wir unsere eigenen Nameserver hosten?


Das ist ein Kanonische Frage darüber, ob die DNS-Auflösung für die eigenen Domains ausgelagert werden soll

Ich habe derzeit meinen ISP, der DNS für meine Domäne bereitstellt, aber sie auferlegen Beschränkungen beim Hinzufügen von Datensätzen. Daher denke ich darüber nach, meinen eigenen DNS zu betreiben.

Möchten Sie lieber Ihren eigenen DNS hosten, oder ist es besser, wenn Ihr ISP dies tut?

Gibt es Alternativen, die ich untersuchen kann?


89
2018-06-10 22:46


Ursprung


Zusätzlich zu den Antworten ist Erfahrung wichtig. Es gibt zahlreiche Fehler, die Sie haben werden Stellen Sie sich als junger DNS-Administrator vor, der eine gute Mentorschaft oder ein Adlerauge für die Dokumentation verhindert. (Bücher und RFCs, nicht HOWTOs) Fehler auf der autoritativen DNS-Ebene verursachen Ausfälle auch wenn der Rest Ihres Netzwerks in Ordnung ist. - Andrew B
Lesen Sie auch die zugehörigen Fragen und Antworten Warum ist geo-redundantes DNS auch für kleine Sites notwendig? - HBruijn


Antworten:


Ich würde keinen eigenen DNS-Server betreiben - in meinem Fall bietet das Hosting-Unternehmen, das meine Website hostet, einen kostenlosen DNS-Dienst. Es gibt auch Alternativen, Unternehmen, die nur DNS-Hosting betreiben (DNS leicht gemacht kommt mir in den Sinn, aber es gibt noch viele andere), auf die Sie wahrscheinlich achten sollten.

Der Grund, warum ich es nicht selbst tun würde, ist, dass DNS ziemlich zuverlässig sein sollte, und wenn Sie kein geografisch verteiltes Netzwerk von eigenen Servern haben, würden Sie alle Ihre Eier sozusagen in einen Korb legen. Außerdem gibt es viele dedizierte DNS-Server, genug, dass Sie keine neue starten müssen.


63
2018-06-10 22:55



+1 zu DNS leicht gemacht. Sie haben einen geprüften, 100.0% Update-Rekord in den letzten 7+ Jahren. - Portman
Ich dachte nur, ich würde eine Notiz hinterlassen. Gerade heute hatten wir endlich genug von beschissenem DNS von unserem jetzigen Provider, sind auf DNS Made Easy umgestiegen, basierend auf der Empfehlung hier, und es ist Fan-blutig-tastisch. Liebe es. Ich wünschte, ich hätte es vor Jahren getan. - Mark Henderson♦
Ist das nicht der Grund, warum es für jeden Eintrag einen primären und einen sekundären Server gibt? Ich hatte nie eine Panne, die die primäre war, und die sekundäre sein mein Registrar; Ich meine, ich hatte einen Fehler in der Grundschule, aber niemand hat es bemerkt, weil es eine zuverlässige Sekundarstufe gab. - dlamblin
Sicher, nichts falsch daran, wenn Sie aus irgendeinem Grund wirklich Ihren eigenen DNS-Server ausführen möchten. Aber ansonsten, solange Sie eine dritte Partei für DNS-Hosting sowieso bezahlen (um die sekundäre sein), können Sie genauso gut lassen Sie sie alle behandeln. Ich denke, für die meisten Leute ist der Betrieb eines DNS-Servers schwieriger als es sich lohnt. - David Z
DNS Made Easy verfügt tatsächlich über ein Netzwerk von Servern, die sich über mehrere Kontinente erstrecken. Und sie verwenden Anycast Routing. Ihre Redundanz ist also lächerlich, weit über die herkömmliche Einrichtung mit zwei Servern (primär und sekundär) hinaus. Aber in der Theorie bedeutet das auch, dass Computer auf der ganzen Welt eine schnelle DNS-Auflösung bekommen. - Steve Wortham


Wir hosten immer unser eigenes DNS (vorzugsweise reverse DNS auch). Dies ermöglicht uns, Notfalländerungen vorzunehmen, ohne sich auf Dritte verlassen zu müssen. Wenn Sie mehr als einen Standort haben, ist es einfach, eine akzeptable Redundanzstufe für Ihre DNS-Server einzurichten.

Wenn Sie nicht mehrere Websites haben, würde ich jemanden, der speziell DNS-Hosting (nicht Ihr ISP) mit einer Web-Oberfläche für Änderungen durchführt. Achten Sie auch auf 24x7 Support und anständige SLAs.


27
2018-06-10 22:54



Wenn Sie Outsourcing in Betracht ziehen, fragen Sie auch, welche Art von DDoS-Schutz oder -Minderung sie haben. DNS-Provider werden ständig attackiert und einige können weiterlaufen, ohne ins Schwitzen zu geraten, und andere werden bei der geringsten Verkehrsspitze zu Krümeln zerfallen. Seien Sie also müde vom Outsourcing, es sei denn, es handelt sich um einen seriösen Anbieter, mit dem viele Server im Einsatz sind Anycast Routing aktiviert. - Justin Scott
Ich wollte (mit viel Enthusiasmus!) Auf der Grundlage Ihrer persönlichen Erfahrung im ersten Satz aufwerten, aber dann schlagen Sie vor, einen Dienst von Drittanbietern in der zweiten zu verwenden, was im Grunde bedeutet, dass ein zusätzlicher unnötiger Fehlerpunkt hinzugefügt wird wenig bis gar nicht. :/ Traurig. - cnst


Für ein gutes, zuverlässiges DNS-Setup für Ihre Domain (s) sollten Sie ...

  • Mindestens zwei autorisierende DNS-Server für Ihre Domain
  • Die DNS-Server sollten mit verschiedenen physischen Netzwerken und Netzteilen verbunden sein;
  • Die DNS-Server sollten sich in verschiedenen geografischen Gebieten befinden.

Da es unwahrscheinlich ist, dass Sie Zugriff auf die oben genannte Netzwerkinfrastruktur haben, sollten Sie einen seriösen DNS-Hosting-Provider wählen (wie von anderen empfohlen), der über die oben genannte Netzwerkinfrastruktur verfügt.


18
2018-06-11 01:30



Hart, nicht überzeugt zu werden, wenn Sie es so sagen. - Filip Dupanović
Dies ist eine großartige Zusammenfassung des Branchenkonsens, keine davon. (Sie wissen, die Industrie, die ihr Geld mit teuren, überentwickelten Lösungen verdient, die nicht einmal der tatsächlichen Spezifikation entsprechen.) - cnst


Viele Jahre lang habe ich meine eigenen DNS-Server mit BIND (Versionen 8 & 9) ohne großen Aufwand betrieben. Ich habe meine Konfigurationen innerhalb der Versionskontrolle mit Post-Commit-Checks gespeichert, die die Zonendateien validieren und dann haben meine DNS-Server die Zonendateien in regelmäßigen Abständen auschecken lassen. Das Problem bestand immer darin, sicherzustellen, dass die SOA-Seriennummer mit jedem Commit aktualisiert wurde, das ausgeschubst wurde, da ansonsten Caching-Server nicht aktualisiert würden.

Jahre später arbeitete ich mit djbdns zusammen, da das Format ideal für automatisierte Skripte war, um die Zonen zu verwalten, und nicht unter dem gleichen SOA-Seriennummerproblem litt, das ich mit BIND behandeln musste. Es hatte jedoch seine eigenen Probleme damit, bestimmte Ressourcen-Datensätze so zu formatieren, dass sie akzeptiert werden.

Wie ich fand, war viel von meinem Verkehr DNS und musste einen primären und sekundären DNS-Server aufrechterhalten, um die Registrare zu befriedigen, die ich seitdem zu verwenden verwendet habe EinfachDNS für meine DNS-Bedürfnisse. Ihre Weboberfläche ist einfach zu verwalten und gibt mir die Flexibilität, die ich brauche, um meine RR-Sets zu verwalten. Ich fand auch, dass es einfach zu handhaben ist, als die, die von einigen Hosting-Providern bereitgestellt werden 1 & 1 das begrenzt die verfügbaren RR-Sets, die Sie eingeben können, oder sogar Domain-Registrare mögen Netzwerklösungen das funktioniert nur, wenn Sie Windows verwenden, um Ihr DNS zu verwalten.


13
2018-06-11 01:14



Dies ist eine gute, ehrliche Antwort, aber es klingt, als ob Sie sich selbst in der Richtigkeit Ihrer Lösung täuschen könnten - mit EasyDNS machen Sie es zu Ihrem einzigen Fehlerpunkt; Ihre Website könnte vollständig betriebsbereit sein, doch Ihre Namen werden möglicherweise nicht aufgelöst, falls Ihr Drittanbieter einen Ausfall oder einen DDoS erleidet, der an einen seiner Kunden gerichtet ist. - cnst


Für meine persönlichen Domains (und einige Freundesdomains, mit denen ich helfe) hosten wir unseren eigenen DNS und mein Registrar (Gandi) stellt Secondary DNS zur Verfügung. Oder ein Freund in einem anderen Netzwerk bietet sekundäre. Gandi aktualisiert Zonen nicht sofort, sie scheinen ungefähr einmal alle 24 Stunden nachzusehen, aber Änderungen sind sehr selten; funktioniert gut genug für uns, und ihr Server ist wahrscheinlich viel zuverlässiger als unserer.

Bei meiner Arbeit machen wir unsere eigenen DNS und unser Upstream-Netzwerk-Provider bietet sekundäre DNS. Wir sind jedoch eine Universität und 99% unserer Nutzer sind vor Ort. Wenn das lokale Netzwerk nicht aktiv ist, spielt es keine Rolle, ob das DNS ausgefallen ist. Außerdem haben wir eine Klasse B (/ 16) mit ungefähr 25.000 DNS-Records (plus natürlich 25k Reverse-DNS-Records), was über eine Web-Schnittstelle ein wenig peinlich ist. Unsere lokalen DNS-Server sind hochverfügbar und schnell.


8
2018-06-10 23:23



Das machen wir auch hier. Wir haben zwei Linux-Boxen mit BIND (eine für die andere Sekunde), und unser "ISP" führt auch Secondary DNS aus. - l0c0b0x
Dito. Auch mit einer Klasse B, die auch unsere eigenen BIND DNS Server betreibt. Und wenn wir DNS-Probleme haben, ist es normalerweise mit unserer Off-Site;) - sysadmin1138♦
Gute Antwort; Dies ist meine bisher beste Antwort auf diese Frage, da sie sowohl auf fundierten technischen Verfahren als auch auf einer realistischen Einschätzung der verfügbaren Redundanz und Verfügbarkeit sowie auf persönlicher Erfahrung beruht. in der Erwägung, dass so viele andere Antworten einfach ihren bevorzugten DNS-Anbieter von Drittanbietern auflisten oder die Schriftsätze von Personen kopieren, die einen klaren Interessenkonflikt haben, indem sie aus den überentwickelten Lösungen, die sie vorschlagen, zusätzliches Geld machen. - cnst


Ich habe beides gemacht. Es kann von Vorteil sein, Ihr eigenes Hosting zu betreiben: Sie lernen definitiv viel darüber, wie DNS funktioniert, wenn Ihr Chef Sie fragt, warum es so lange dauert. Außerdem haben Sie so viel mehr Kontrolle über Ihre Zonen. Dies ist nicht immer so leistungsstark, wie es sein sollte, zum großen Teil aufgrund der hierarchisch verteilten Natur von DNS - aber es kommt immer wieder vor, dass es nützlich ist. Doppelt so, wenn Sie Ihren Provider dazu bringen können, Sie als SOA für das Reverse-DNS Ihres IP-Blocks zuzuteilen, vorausgesetzt, Sie haben eines.

Allerdings sind alle oben genannten Kommentare darüber, wie Sie wirklich eine hohe Fehlerresistenz gebaut haben sollten, sind gut. Server in verschiedenen Datenzentren in verschiedenen geografischen Regionen sind wichtig. Nachdem wir 2003 den gewaltigen Stromausfall im Nordosten gemeistert hatten - wir alle haben gelernt, dass eine Box in zwei verschiedenen Rechenzentren in der gleichen Stadt oder sogar Provinz oder Staat - nicht unbedingt Schutz genug ist. Die Begeisterung, die einsetzt, wenn Sie Ihre Batterien erkennen und dann Dieselgeneratoren Ihren Kolben gerettet haben, wird schnell durch die Angst ersetzt, die durch die Erkenntnis verursacht wird, dass Sie jetzt auf Ihrem Ersatzreifen fahren.

Ich betreibe jedoch immer unseren internen DNS-Server für das LAN. Es kann sehr praktisch sein, die vollständige Kontrolle über das DNS zu haben, das Ihr Netzwerk intern verwendet - und wenn der Strom in Ihrem Büro ausfällt, ist Ihr interner DNS-Server aufgrund des Server-Racks wahrscheinlich Batterie oder Batterie und Diesel. während Ihr PC nicht - also Ihre Kunden sind offline, lange bevor der Server ist.


5
2018-06-11 02:06





Ich lese all diese Lösungen mit einiger Belustigung, weil wir es geschafft haben, versehentlich in all diese "Anforderungen" zu passen, indem wir unseren primären DNS von einer statischen DSL-Leitung hosten und den Registrar (der auf einem anderen Kontinent war) einen sekundären DNS bereitstellen viel ernsthaftere und zuverlässigere Verbindung. Auf diese Weise erhalten wir die ganze Flexibilität der Verwendung von bind und das Setzen aller Datensätze in der Zwischenzeit, wobei sichergestellt ist, dass die Sekundärseite aktualisiert wird, um diese Änderungen widerzuspiegeln und im Fall eines Schachtlochs verfügbar sein wird, um ein Ereignis anzuführen.

Dies erfüllt effektiv:
"Mindestens zwei autoritative DNS-Server für Ihre Domain;"
"Die DNS-Server sollten mit verschiedenen physischen Netzwerken und Netzteilen verbunden sein."
"Die DNS-Server sollten sich in verschiedenen geografischen Gebieten befinden."


4
2017-09-14 07:56



Dies ist sicherlich ein Wohlfühlansatz. Aber wenn ein Schacht in Brand gerät und Ihre gesamte Infrastruktur ausfällt, ohne DNS, wo bleibt der DNS noch verfügbar, wenn keiner der Server kontaktiert werden konnte? :-) Ich denke, das Problem mit Drittanbieter-DNS zu lösen, macht nur dann Sinn, wenn Sie selbst einige andere Dienste an andere Dritte auslagern. - cnst
@ Cmst Der Punkt ist, wenn DNS ist down, jemand, der Ihnen eine E-Mail, sie sehen ein unmittelbares Problem (Kunden? Partner? sehr schlechte Publicity). Wenn die DNS funktioniert und der Mailserver für einige Stunden nicht erreichbar ist, merken sie meistens nichts. - kubanczyk
@cmst DNS ist nicht darauf beschränkt, auf Server in meinem persönlichen Netzwerk zu zeigen. Ich kann IPs überall benennen. Wie, vielleicht habe ich einen Namen für jede NAT-Boxen meiner Mitarbeiter / Freunde Heimnetzwerk. Oder ich könnte andere Datensatztypen verwenden und etwas öffentlich identifizieren / verifizieren. - dlamblin


Sieh dir das an Dyn.com; Sie haben alle Arten von DNS-bezogenen Diensten wie DNS-Hosting, dynamisches DNS, MailHop, usw., usw. Ich habe sie zuverlässig gefunden und benutze sie seit ungefähr 5 Jahren.


4
2018-06-10 23:17



+1, ich nutze DynDNS seit ca. 2 Jahren und bin mit ihrem Service absolut zufrieden. - cdmckay
Dyn.com war früher ungefähr 2013 dynDNS. - Knox


Es hängt davon ab, ob.

Ich habe seit den späten 80er Jahren meinen eigenen DNS für meine verschiedenen Jobs (BSD 4.3c). Für die Arbeit habe ich immer mein eigenes DNS gehostet, aber ich hatte immer mehrere Rechenzentrumsstandorte oder war in der Lage, sekundäres DNS mit einem Partner auszutauschen. Zum Beispiel, bei meinem letzten Job haben wir Secondary DNS für eine andere .EDU (sie waren in MN, wir sind in CA), und sie taten das gleiche für uns. Geografische und Netzwerk-Vielfalt.

Oder, bei meiner jetzigen Arbeit, haben wir unsere eigenen Rechenzentren an der Ost- und Westküste (USA). Durch das Hosting unseres eigenen DNS können wir beliebige ungewöhnliche DNS-Einträge (SVR, TXT usw.) einfügen, die möglicherweise von einigen DNS-Diensten der GUI nicht unterstützt werden. Und wir können TTLs jederzeit ändern. Wir haben ziemlich viel Flexibilität, auf Kosten von uns selbst.

Für Zuhause habe ich beides gemacht. Für einige Domains, in denen ich ungewöhnliche Dinge mache oder viel Flexibilität brauche, betreibe ich immer noch meine eigenen "versteckten" Master-DNS-Server und tausche öffentliche DNS-Dienste mit anderen aus, die dasselbe tun. Ich verwende RCS, um Kontrollzonendateien für das Konfigurationsmanagement zu versionieren, damit ich den gesamten Verlauf der Zone bis zum Beginn der Zeit zurückverfolgen kann. Für einfache Dinge wie eine Domain mit einem einzigen Blog oder generische Webserver (ein A-Record oder ein CNAME) ist es einfacher, einen Domain-Registrar-DNS-Service zu verwenden, wenn verfügbar, und sich jetzt um CM zu kümmern.

Es ist ein Kompromiss. Umfassende Kontrolle und Flexibilität gehen zu Lasten der eigenen Handhabung von Diversity, der Ausführung mehrerer Server, der Bewältigung von Hardware- / Softwarefehlern usw. Wenn Sie die Flexibilität oder totale Kontrolle nicht benötigen, dann werden alle führenden DNS-Anbieter dies tun Lösen Sie Ihr Problem, wahrscheinlich zu geringeren Gesamtkosten.


3
2018-06-11 05:27



Obwohl es wahr ist, dass es einfacher ist, das DNS des Registrars zu verwenden, ist es nicht ungewöhnlich, dass das DNS eines Registrars ausgefallen ist, während sowohl die Domain-Registrierung als auch Ihr eigener Host aktiv sind, Ihre Site jedoch nicht verfügbar ist. weil Sie Ihrer Einrichtung aus Gründen der Übersichtlichkeit einen zusätzlichen Fehlerpunkt hinzugefügt haben. Es ist wirklich nicht so schwierig, ein eigenes DNS zu betreiben. besonders heutzutage mit der Fülle von leichten und einfach zu bedienenden Servern. - cnst


Wie bereits in diesem Thread erwähnt, gibt es einige spezielle Fälle mit DNS, wobei der wichtigste Unterschied zwischen autorisierenden und Caching-Nameserver-Bereitstellungen besteht.

  1. Wenn Sie einen DNS-Server nur zum Auflösen von Internet-Ressourcen benötigen, ist einige kostenlose Cashing-DNS-Resolver eine kluge Wahl. Ich persönlich benutze PowerDNS recursor (pdns-recursor) unter Linux.

  2. Für die Wartung Ihrer externen Infrastruktur, wie Webseiten oder MX's, würde ich keine internen NSes verwenden (wenn wir hier von SOHO sprechen). Verwenden Sie einen guten, zuverlässigen, kugelsicheren Service wie DNSmadeasy. Ich benutze ihr Business-Paket, und es rockt, während es sehr erschwinglich ist.


3
2018-06-11 08:44



Viele Leute unterstützen auch die Ansicht eines DJB noch nie Ausführen eines DNS-Caches (des rekursiven Resolvers) auf demselben System wie ein DNS-Server (der Zonendateispeicher). Dies ist aus Sicherheitsgründen, so dass die Löcher in einem den anderen nicht beeinflussen und umgekehrt. - kubanczyk