[FRnOG] Re: [TECH] DNS root zone slaving

Fri, 17 Feb 2012 05:36:58 -0800 


On 2/17/12 1:20 PM, Stephane Bortzmeyer wrote:
> On Fri, Feb 17, 2012 at 12:09:30PM +0100,
>  Damien Fleuriot <m...@my.gd> wrote 
>  a message of 21 lines which said:
> 
>> combien d'entre vous utilisent le "nouveau" mécanisme de BIND qui
>> consiste à slaver la root zone, plutôt que l'avoir dans le fichier
>> hint ?
> 
> Pourquoi « nouveau » ? BIND peut être serveur esclave depuis très
> longtemps.
> 

J'entends bien, mais historiquement, dans la conf, il y avait juste la
zone . vers le fichier hint.

Maintenant, dans la conf, il y a soit ça par défaut, soit en dessous,
commenté, du slaving de .

Je copie l'extrait de la conf à la fin.



>> Si vous ne le faites pas, pourquoi ?
> 
> La question serait plutôt « pourquoi le faire » ? En tout cas, c'est
> une mauvaise idée. 
> 
> https://lists.dns-oarc.net/pipermail/dns-operations/2007-July/001803.html
> (fil très long)
> 
> http://lists.freebsd.org/pipermail/freebsd-current/2007-August/075895.html

Bah eux ont l'air de penser que c'est une bonne idée en tout cas:


// The traditional root hints mechanism. Use this, OR the slave zones below.
zone "." { type hint; file "/etc/namedb/named.root"; };

/*      Slaving the following zones from the root name servers has some
        significant advantages:
        1. Faster local resolution for your users
        2. No spurious traffic will be sent from your network to the roots
        3. Greater resilience to any potential root server failure/DDoS

        On the other hand, this method requires more monitoring than the
        hints file to be sure that an unexpected failure mode has not
        incapacitated your server.  Name servers that are serving a lot
        of clients will benefit more from this approach than individual
        hosts.  Use with caution.

        To use this mechanism, uncomment the entries below, and comment
        the hint zone above.

        As documented at http://dns.icann.org/services/axfr/ these zones:
        "." (the root), ARPA, IN-ADDR.ARPA, IP6.ARPA, and ROOT-SERVERS.NET
        are availble for AXFR from these servers on IPv4 and IPv6:
        xfr.lax.dns.icann.org, xfr.cjr.dns.icann.org
*/
/*
zone "." {
        type slave;
        file "/etc/namedb/slave/root.slave";
        masters {
                192.5.5.241;    // F.ROOT-SERVERS.NET.
        };
        notify no;
};
zone "arpa" {
        type slave;
        file "/etc/namedb/slave/arpa.slave";
        masters {
                192.5.5.241;    // F.ROOT-SERVERS.NET.
        };
        notify no;
};
*/



Du coup, en ce qui me concerne, on la slave.


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à