Pregunta ¿Debemos alojar nuestros propios servidores de nombres?


Esto es un Pregunta canónica sobre si subcontratar la resolución de DNS para los propios dominios

Actualmente tengo mi ISP que proporciona DNS para mi dominio, pero imponen limitaciones para agregar registros. Por lo tanto, estoy pensando en ejecutar mi propio DNS.

¿Prefiere hospedar su propio DNS, o es mejor que su ISP haga esto?

¿Hay alternativas que puedo mirar?


89
2018-06-10 22:46


origen


Además de las respuestas a continuación, la experiencia también es importante. Hay numerosos errores que será fabrique como un administrador de DNS en ciernes que prohíba una buena tutoría o un ojo de águila para la documentación. (libros y RFC, no CÓMO) Los errores cometidos en la capa de DNS autorizada causan interrupciones incluso cuando el resto de tu red está bien. - Andrew B
También lea las preguntas y respuestas relacionadas ¿Por qué es necesario el DNS geo-redundante incluso para sitios pequeños? - HBruijn


Respuestas:


No ejecutaría mi propio servidor DNS; en mi caso, la empresa de alojamiento que aloja mi sitio web proporciona un servicio DNS gratuito. También hay alternativas, empresas que no hacen nada más que hosting DNS (DNS Made Easy viene a la mente, pero hay muchos otros que son el tipo de cosas que probablemente deberías considerar.

La razón por la que no lo haría por mi cuenta es que se supone que el DNS es bastante confiable y, a menos que tenga una red de servidores de su distribución geográfica, estaría poniendo todos sus huevos en una sola cesta, por así decirlo. Además, hay un montón de servidores DNS dedicados, suficientes como para que no necesites iniciar uno nuevo.


63
2018-06-10 22:55



+1 a DNS Made Easy. Tienen un registro auditado de actualización del 100.0% en los últimos 7 años o más. - Portman
Solo pensé que me caería una nota. Hoy mismo, finalmente, nos cansamos de tener un DNS horrible de nuestro proveedor actual, cambiamos a DNS Made Easy de acuerdo con la recomendación de este artículo, y es increíble. Quiéralo. Ojalá lo hubiera hecho hace años. - Mark Henderson♦
¿No es por esto que hay un servidor primario y secundario para cada entrada? Nunca he tenido una falla al ser la primaria, y tener la secundaria como mi registrador; Quiero decir que he tenido una falla en la primaria, pero nadie se dio cuenta porque había una secundaria confiable. - dlamblin
Claro, no hay nada de malo en eso si realmente quieres ejecutar tu propio servidor DNS por alguna razón. Pero de lo contrario, siempre que vaya a pagarle a un tercero por el alojamiento de DNS de todos modos (para que sea el secundario), debería dejar que ellos se encarguen de todo. Creo que para la mayoría de las personas, ejecutar un servidor DNS es más problemático de lo que vale. - David Z
DNS Made Easy en realidad tiene una red de servidores que abarca varios continentes. Y usan enrutamiento anycast. Por lo tanto, su redundancia es ridícula, mucho más allá de la configuración convencional de dos servidores (primaria y secundaria). Pero en teoría, eso también significa que las computadoras de todo el mundo obtendrán una rápida resolución de DNS. - Steve Wortham


Siempre tenemos nuestro propio DNS (DNS inverso preferible también). Esto nos permite hacer cambios de emergencia sin depender de un tercero. Si tiene más de una ubicación, es fácil configurar un nivel adecuado de redundancia para sus servidores DNS.

Si no tiene varios sitios, entonces consideraría a alguien que específicamente hace el alojamiento de DNS (NO su ISP) con una interfaz web para los cambios. También busque soporte 24x7 y SLA decentes.


27
2018-06-10 22:54



Al considerar la subcontratación, también pregunte qué tipo de protección contra DDoS o mitigación tienen implementada. Los proveedores de DNS son atacados todo el tiempo y algunos son capaces de seguir corriendo sin sudar y otros se desmoronan en un montón de migajas al menor aumento en el tráfico, por lo que debe estar cansado de la subcontratación a menos que sea un proveedor confiable que tenga muchos servidores implementados con Enrutamiento anycast habilitado. - Justin Scott
Estaba a punto de votar (¡con mucho entusiasmo!) En base a su experiencia personal en la primera oración, pero luego sugiere utilizar un servicio de terceros en la segunda, lo que básicamente significa que se agrega un punto de falla adicional innecesario para poco o ningún beneficio. : / Triste - cnst


Para una configuración de DNS buena y confiable para su dominio (s), debe tener ...

  • Un mínimo de dos servidores DNS autorativos para su dominio;
  • Los servidores DNS deben estar conectados a diferentes redes físicas y fuentes de alimentación;
  • Los servidores DNS deben estar en diferentes zonas geográficas.

Dado que es poco probable que tenga acceso a la infraestructura de red anterior, es mejor que elija un proveedor de hospedaje de DNS de buena reputación (como han recomendado otros) que tenga la infraestructura de red anterior.


18
2018-06-11 01:30



Es difícil no convencerse cuando lo pones de esa manera. - Filip Dupanović
Este es un gran resumen del consenso de la industria, sin excepción. (Ya sabes, la industria que obtiene su dinero de costosas soluciones de ingeniería excesiva que pueden no funcionar incluso con las especificaciones reales reales). - cnst


Durante muchos años ejecuté mis propios servidores DNS utilizando BIND (versiones 8 y 9) sin mayores problemas. Guardé mis configuraciones dentro del control de versiones con verificaciones posteriores a la confirmación que validarían los archivos de zona y luego hice que mis servidores DNS verifiquen los archivos de zona a intervalos regulares. El problema siempre fue asegurarse de que el número de serie de SOA se actualizó con cada confirmación que se eliminó, de lo contrario los servidores de almacenamiento en caché no se actualizarían.

Años más tarde, trabajé con djbdns ya que el formato era ideal para tener scripts automatizados para administrar las zonas y no tenía el mismo problema con el número de serie de SOA con el que tenía que lidiar usando BIND. Sin embargo, tenía sus propios problemas con la necesidad de formatear ciertos conjuntos de registros de recursos para que fueran aceptados.

Como encontré, gran parte de mi tráfico era DNS y tuve que mantener un servidor DNS primario y secundario para complacer a los registradores a los que me he mudado. EasyDNS para mis necesidades de DNS. Su interfaz web es fácil de administrar y me brinda la flexibilidad que necesito para administrar mis conjuntos RR. También encontré que es más fácil trabajar con ellos que los proporcionados por algunos proveedores de hosting como 1 y 1 que limitan los conjuntos de RR disponibles, o incluso registradores de dominio como Soluciones de red que solo funciona si usas Windows para administrar tu DNS.


13
2018-06-11 01:14



Esta es una buena respuesta honesta, pero suena como si estuvieras engañándote a ti mismo en la solidez de tu solución. Al usar EasyDNS, estás convirtiéndote en tu único punto de falla. su sitio podría estar todo en funcionamiento y, sin embargo, sus nombres podrían no resolverse en caso de que su proveedor externo sufra una interrupción o una DDoS dirigida a uno de sus clientes. - cnst


Para mis dominios personales (y los dominios de algunos amigos con los que ayudo) alojamos nuestro propio DNS y mi registrador (Gandi) proporciona DNS secundario. O un amigo en otra red proporciona secundaria. Gandi no actualiza las zonas inmediatamente, parece que se revisan una vez cada 24 horas aproximadamente, pero los cambios son muy infrecuentes; Funciona lo suficientemente bien para nosotros, y su servidor es probablemente mucho más confiable que el nuestro.

En mi trabajo, hacemos nuestro propio DNS y nuestro proveedor de red ascendente proporciona DNS secundario. Sin embargo, somos una universidad y el 99% de nuestros usuarios están en el sitio; Si la red local está inactiva, no importa si el DNS está inactivo. Además, tenemos una clase B (/ 16) con aproximadamente 25k registros DNS (más 25k registros DNS inversos, por supuesto), lo que parece un poco incómodo de administrar a través de una interfaz web. Nuestros servidores DNS locales están altamente disponibles y son bastante rápidos.


8
2018-06-10 23:23



Aquí hacemos lo mismo. Tenemos dos cajas de Linux que ejecutan BIND (una por segundo y otra por segundo), y nuestro 'ISP' también ejecuta DNS secundario. - l0c0b0x
Ídem. También con una clase B, también ejecutando nuestros propios servidores DNS BIND. Y cuando tenemos problemas de DNS, por lo general es con nuestro sitio externo;) - sysadmin1138♦
Gran respuesta; esta es mi respuesta favorita para esta pregunta hasta ahora, porque en realidad se basa en prácticas de ingeniería sólidas y en una estimación realista de la redundancia y disponibilidad disponibles, así como en la experiencia personal; mientras que muchas otras respuestas simplemente enumeran a su proveedor de DNS de terceros, o copian ciegamente los informes escritos por personas con un claro conflicto de intereses de ganar dinero extra de las soluciones de ingeniería excesiva que proponen. - cnst


He hecho ambas cosas. Puede haber beneficios con el alojamiento propio: definitivamente aprendes mucho sobre cómo funciona el DNS cuando tu jefe te pregunta por qué demora tanto. Además, tienes mucho más control sobre tus zonas. Esto no siempre es tan poderoso como debería ser, en gran parte debido a la naturaleza jerárquica distribuida del DNS, pero de vez en cuando es útil. De manera doble, si puede hacer que su proveedor lo asigne como SOA para el DNS inverso de su bloqueo de IP, suponiendo que tenga uno.

Sin embargo, todos los comentarios anteriores sobre cómo realmente debería tener una gran cantidad de resistencia a fallas incorporada arriba están en juego. Los servidores en diferentes centros de datos en diferentes áreas geográficas son importantes. Después de haber superado la interrupción del servicio eléctrico en el noreste en 2003, todos aprendimos que tener una caja en dos centros de datos diferentes en la misma ciudad, o incluso provincia o estado, no es necesariamente suficiente protección. La euforia que se activa cuando te das cuenta de que tus baterías y luego los generadores diésel guardaron tu trasero se reemplaza rápidamente por el temor causado por la comprensión de que ahora estás conduciendo con tu llanta de repuesto.

Sin embargo, siempre ejecuto nuestro servidor DNS interno para la LAN. Puede ser muy útil tener un control completo sobre el DNS que su red usa internamente, y si se corta la energía en su oficina, su servidor DNS interno, en virtud de estar en el rack del servidor, probablemente esté en la batería o en la batería y en el diesel. mientras que sus PC no lo harán, por lo que sus clientes estarán fuera de línea mucho antes de que el servidor se encuentre.


5
2018-06-11 02:06





Estoy leyendo todas estas soluciones con cierta diversión porque logramos encajar accidentalmente en todos estos "requisitos" al alojar nuestro DNS primario en una línea DSL estática, y hacer que el registrador (que estaba en otro continente) proporcione un DNS secundario en una Conexión mucho más seria y confiable. De esta manera, obtenemos toda la flexibilidad de usar el enlace y la configuración de todos los registros, al mismo tiempo que estamos razonablemente seguros de que la secundaria se actualizará para reflejar estos cambios y estará disponible en el caso de que se produzca un incendio en el pozo, para citar una ocurrencia.

Esto efectivamente cumple:
"Un mínimo de dos servidores DNS autorizados para su dominio";
"Los servidores DNS deben estar conectados a diferentes redes físicas y fuentes de alimentación";
"Los servidores DNS deben estar en diferentes áreas geográficas".


4
2017-09-14 07:56



Este es ciertamente un enfoque de sentirse bien; pero si un pozo de acceso se incendia y toda su infraestructura se descompone, sin DNS, ¿qué sentido tiene el DNS aún disponible, cuando no se pudo contactar a ninguno de los servidores? :-) Creo que meterse en el problema del DNS secundario de terceros solo tiene sentido si usted mismo subcontrata otros servicios a terceros también. - cnst
@cmst El punto es, cuando dns está caído, cualquier persona que le envíe un correo electrónico, ve un problema inmediato (clientes, socios, muy mala publicidad). Si el dns funciona y el servidor de correo está inactivo durante algunas horas, en su mayoría no notan nada. - kubanczyk
@cmst DNS no se limita a apuntar a servidores en mi red personal. Puedo nombrar IPs en cualquier lugar. Como, tal vez tengo un nombre para cada una de las cajas de NAT de la red doméstica de mis empleados / amigos. O podría usar otros tipos de registros e identificar / verificar públicamente algo. - dlamblin


Echa un vistazo a Dyn.com; tienen todo tipo de servicios relacionados con DNS, como el hospedaje de DNS, DNS dinámico, MailHop, etc., los he encontrado confiables y los he estado usando durante casi 5 años.


4
2018-06-10 23:17



+1, he usado DynDNS durante aproximadamente 2 años y estoy completamente satisfecho con su servicio. - cdmckay
Dyn.com solía ser dynDNS antes de alrededor de 2013. - Knox


Depende.

He ejecutado mi propio DNS para mis diversos trabajos desde finales de los 80 (BSD 4.3c). Para el trabajo, siempre he alojado mi propio DNS, pero siempre he tenido varias ubicaciones de centros de datos, o he podido intercambiar DNS secundarios con un socio. Por ejemplo, en mi último trabajo hicimos DNS secundario para un .EDU diferente (estaban en MN, estamos en CA), e hicieron lo mismo para nosotros. Diversidad geográfica y de redes.

O bien, en mi trabajo actual tenemos nuestros propios centros de datos de la costa este y oeste (EE. UU.). Alojar nuestro propio DNS nos permite poner en cualquier registro de DNS inusual que podamos necesitar (SVR, TXT, etc.) que puede no ser compatible con algunos de los servicios DNS de GUI. Y, podemos cambiar TTLs cuando queramos; Tenemos una gran flexibilidad, a costa de hacerlo nosotros mismos.

Para cosas del hogar, lo he hecho de ambas maneras. Para algunos dominios donde estoy haciendo cosas inusuales, o necesito mucha flexibilidad, todavía ejecuto mis propios servidores DNS "ocultos" e intercambio servicios públicos de DNS con otros que están haciendo lo mismo. Utilizo RCS para controlar la versión de los archivos de la zona para la administración de la configuración, por lo que puedo ver todo el historial de cambios de zona al principio de los tiempos. Para cosas simples como un dominio con un solo blog o servidores web genéricos (un registro A o un CNAME), es más fácil usar un servicio DNS de registradores de dominio cuando esté disponible y ahora se preocupe por CM.

Es una compensación. El control y la flexibilidad definitivos conllevan el costo de manejar la diversidad por su cuenta, ejecutar varios servidores, manejar fallas de hardware / software, etc. Si no necesita la flexibilidad o el control total, entonces cualquiera de los proveedores de DNS de primer nivel Resuelva su problema, probablemente a un costo total menor.


3
2018-06-11 05:27



Si bien es cierto que es más fácil simplemente usar el DNS del registrador, no es tan raro que el DNS de un registrador esté inactivo, al mismo tiempo que tanto el registro de dominio como su propio host están activos, sin embargo, su sitio no está disponible. porque ha agregado un punto de falla adicional a su configuración por razones de facilidad. Realmente no es tan difícil ejecutar tu propio DNS; Especialmente hoy en día con la plétora de servidores ligeros y fáciles de usar. - cnst


Como ya se mencionó en este hilo, hay varios casos especiales con DNS, la diferencia más significativa es entre las implementaciones de servidores de nombres autoritativos y de caché.

  1. Si necesita un servidor DNS solo para resolver los recursos de Internet, una solución sabia es una resolución de DNS gratuita. Personalmente uso PowerDNS recursor (pdns-recursor) en Linux.

  2. Para dar servicio a su infraestructura externa, como sitios web o MX's, no usaría NSes internos (si estuviéramos hablando de SOHO aquí). Utilice algún servicio bueno, confiable y a prueba de balas como DNSmadeasy. Yo uso su paquete de negocios, y es increíble, pero es muy asequible.


3
2018-06-11 08:44



Muchas personas también avalan la opinión de un DJB de Nunca ejecutar un caché de DNS (el resolutor recursivo) en el mismo sistema que un servidor DNS (el almacenamiento de archivos de zona). Esto es por razones de seguridad, por lo que los agujeros en uno no afectan al otro y viceversa. - kubanczyk


He usado Zonedit o años. Es barato (o gratis) y he agregado muchos CNAME, A, MX, TXT, SRV y otros registros.


2
2018-06-10 22:52