Andrew B's questions

É extremamente comum que RFCs sejam citados em apoio a opiniões (incluindo perguntas e respostas sobre falhas de servidor), mas o funcionário médio de TI não entende muito bem quais RFCs definem padrões e quais são puramente informativos. Isso não deveria ser uma surpresa: os administradores de sistema de todos os níveis de experiência geralmente evitam olhar para os RFCs, a menos que não tenham escolha a não ser fazê-lo.

Em um site como o nosso, é extremamente importante não perpetuar mal-entendidos comuns em nossas respostas votadas. Usuários aleatórios que navegam nos mecanismos de pesquisa vão presumir que os votos positivos sem comentários contestados são indicadores suficientes de verificação. Recentemente, me deparei com uma resposta de 2011, deixando claro que isso definitivamente não está sendo detectado em alguns casos, pois votamos positivamente e provavelmente justifica alguns esforços para informar nossa comunidade e a Internet em geral.

Portanto, sem mais delongas, como diferenciar entre um RFC que pode ser citado como um padrão da Internet e um que é puramente informativo?

Esta é uma pergunta canônica sobre limitação de taxa no software de servidor de nomes ISC BIND.

Recentemente, ouvi falar dos recursos de limitação de taxa do BIND. DNS RRL em particular parece estar se tornando mais comum.

Eu estou um pouco confuso. Parte da documentação parece dizer que esses recursos não devem ser usados ​​com servidores DNS recursivos, mas outros documentos abordam especificamente a infraestrutura DNS recursiva. Quem está certo?

Trabalho para uma empresa com uma configuração de DNS dividida no domínio AD. Sei que isso não é o ideal, mas não estou em posição de promover mudanças nessa área. Eu possuo DNS autoritativo (interno e externo) onde o Active Directory não está envolvido e outra equipe possui os controladores de domínio.

Fundo:

• Temos um domínio dividido chamado example.comque reside em todos os controladores de domínio.
• Os controladores de domínio são configurados para usar encaminhadores para todos os domínios para os quais não têm autoridade.
• Existe um subdomínio desse ( sub.example.com) que é delegado a endereços IP públicos em uma DMZ usando NSregistros. Tenho a necessidade de eliminar esses endereços IP usar endereços IP internos que estão fora da DMZ.
• Os novos endereços IP podem ser acessados ​​pelos encaminhadores, mas não pelos controladores de domínio.

Para representar isso visualmente:

    example.com. (DCs are authoritative)
sub.example.com. (subdomain not managed by the DCs)

Eu gostaria de ter os sub.example.com. NSregistros convertidos em um encaminhador condicional que envia tráfego para os encaminhadores padrão, mas meus administradores de domínio me disseram que o DNS do Windows não permitirá um encaminhador dentro de uma zona de pesquisa direta.

É verdade que esta é uma configuração não suportada? Outros produtos DNS não têm problemas com um encaminhador que está abaixo de uma zona autoritativa, então quero ter certeza de que estou trabalhando com as informações corretas antes de passar para uma estratégia diferente, como falhas de firewall para cada controlador de domínio que contorna os encaminhadores . (argh)

Já revi as solicitações de encaminhamento de subdomínio para outro servidor DNS no Windows 2k3 e a resposta aceita que recomenda uma NSdelegação, que não responde a esta pergunta.

(Isenção de responsabilidade: não sou um administrador de DNS do Windows. No entanto, tenho uma quantidade decente de experiência em DNS, e isso não faz sentido. Estou trabalhando em estreita colaboração com os administradores responsáveis ​​por esses dispositivos e posso fazer testes como precisava.)

Encontramos um problema em que não podemos adicionar encaminhadores condicionais que apontam para servidores de nomes BIND no Windows Server 2012. Adicionar o endereço IP do servidor resulta em um erro de validação:An unknown error occurred while validating the server.

Olhando para o log de consulta no servidor BIND, encontramos algo bastante interessante: o servidor DNS do Windows estava consultando . IN SOA, ou seja, o registro SOA para os servidores de nomes raiz. Nenhuma consulta para example.com. IN SOAnada. Ele tenta consultar a autoridade root e não continua quando recebe uma resposta de REFUSED.

client 192.168.203.20#59067 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#50553 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#55468 (.): query: . IN SOA - (192.168.208.201)

Loucura. Para animá-lo, reproduzimos esse problema no laboratório. Baixei uma cópia da zona raiz e configurei uma .zona (comentando minhas dicas de raiz) e eis que esse erro não ocorre mais.

Eu realmente não entendo isso. Estou fornecendo um servidor de nomes autoritativo que não deveria fornecer respostas para . SOA, e como as coisas estão, terei que adicionar esta zona a todos os nossos servidores de produção apenas para funcionar bem com o Windows 2012. Na minha experiência, um O encaminhador deve se preocupar apenas se o servidor de nomes de destino é autoritativo ou não para a zona em questão.

Por que isso está acontecendo?

Se tentarmos ignorar o erro (clique em OK de qualquer maneira), obteremos a seguinte caixa de diálogo de erro:

O log de consulta ainda mostra que o servidor upstream está solicitando apenas arquivos . IN SOA. Nunca há uma tentativa de ver se o servidor tem autoridade para example.com..

Esta é uma pergunta canônica sobre a administração do servidor DNS.

Eu tenho cem ou mais domínios. Todos esses domínios precisam ser configurados de forma idêntica, mas parece uma grande perda de tempo ter que configurar uma nova zona e/ou arquivo de zona para cada um desses domínios. Tem que haver uma maneira melhor de automatizar isso!

Acho que estou no caminho certo ... se eu criar uma zona chamada ., ou usar algum outro recurso no meu software DNS para sempre retornar um IP específico quando um Aregistro for solicitado, isso parece me deixar bem próximo do fim desejado resultado. Meu servidor está respondendo com autoridade às solicitações e é muito mais fácil de gerenciar!

Isso estava funcionando muito bem até que o software de validação do servidor de nomes começou a verificar esses domínios. Descobri que posso eliminar a maioria dos erros adicionando NSregistros, mas meu software não permite que eu coloque mais de um SOAregistro no mesmo arquivo de zona.

Como contornar esse SOAproblema de vários registros?

Eu li e entendi Você pode me ajudar com meu planejamento de capacidade? , mas não tenho certeza se entendi quais são minhas próximas etapas em um cenário de servidor DNS. Acho que minhas cargas de CPU estão altas ou que posso estar começando a descartar consultas, mas gostaria de entender melhor a carga do meu servidor antes de agir sobre ele. Isso é particularmente preocupante para mim porque é do conhecimento geral que dimensionar sua infraestrutura para cargas de DDoS é uma batalha perdida.

O que devo analisar para entender meu ambiente?

Esta é uma pergunta canônica sobre como proteger resolvedores de DNS públicos

Os servidores DNS abertos parecem bastante organizados e convenientes, pois fornecem endereços IP que podemos usar de forma consistente em nossa empresa, independentemente de onde estejam localizados. O Google e o OpenDNS fornecem essa funcionalidade, mas não tenho certeza se desejo que essas empresas tenham acesso às nossas consultas de DNS.

Quero configurar algo assim para ser usado por nossa empresa, mas ouço muito sobre essa prática ser perigosa (principalmente no que diz respeito a ataques de amplificação ) e quero ter certeza de que faremos isso corretamente. O que preciso ter em mente ao construir esse tipo de ambiente?