Názory k článku
Jak dobře jsou nastaveny české DNS servery?

Máte snad pocit, že TLD a root servery jdou měřit stejným metrem jako domény vyšší úrovně?

Co myslite tim slovem "dnes"? Infrastruktura Internetu se za poslednich dvacet let nijak dramaticky nezmenila :-)

Predpokladam, ze si do te domeny nenechate dorucovat postu. Pokud jde pouze o web, tak to moc nevadi, protoze kdyz nejede dns, tak nejede ani ten web.

Pak se ale nabizi otazka, proc maj fomry na autech tolik nalepek ve forme:

www.mojeskvelafirma.cz
franta.vocasek72@seznam.cz

Clovek by cekal e-mail ve forme: reditel@mojeskvelafirma.cz misto socialniho freemailu :-)

Obavam se, ze Vase prirovnani site CR a Albanie neni presne. Uz proto, ze podle mych kusych informaci hlavni problem v Albanii neni v rozvodne siti, ale ve vyrobnich a dovoznich kapacitach.

Argument s tim, ze za posledni dva roky se Vam nic nestalo je sice fajn, jenze to neznamena, ze se Vam zitra server na den neodmlci. On sekundarni nameserver muzete mit za par korun mesicne nebo zadarmo, pokud se domluvite s kamaradem na reciprocni sluzbe.

M. Krsek nikdy netvrdil, ze maji v Albanii dobrou prenosovou sit (hezky spin od Vas).

Informace o tom, ze Balkan ma problemy s dostatkem elektricke energie, jsou verejne dostupne. Albanii se v posledni dobe nepodarilo nakoupit energii v zahranici, proto pristoupila k omezeni dodavek.

Politicky system v Albanii nesleduji.

Ale tesi me, ze me dokazi oponentni kritizovat zleva i zprava :-)

Cau Happy, co delas na Lupe? :-)

Mám registrované domény u Forpsi, tam také vedu DNS záznamy. Všiml jsem si, že u mé domény jsou 4 nameservery:
ns.forpsi.net, ns.forpsi.cn, ns.forpsi.cz, ns.forpsi.us. Který z nich je primární, který sekundární a který cachovací? A proč je tam ta čínská doména?

Je pravda, že Forpsi má všechny DNS servery v jedné serverovně. Není to potenciálně nebezpečné, co když vypadne proud?

Kterého českého registrátora .CZ byste mi doporučili, který má DNS servery v pořádku a nezávisle na různých místech?

Nebo se zeptám jinak. Má smysl "pro jistotu" použít jako záložní DNS třeba ZoneEdit nebo EveryDNS? Co si myslíte o těchto free službách?

Z hlediska "vnejsiho pozorovatele" se DNS servery deli na delegovane, ktere by soucasne mely byt autoritativni, a na ty ostatni. Rozdeleni na primarni a sekundarni je k necemu dobre (a je znamo) pouze tomu, kdo zonu provozuje. Takze se ptejte u prozovovatele, ktery je primarni. Jinak by ale udaj o primarnim serveru mel byt uveden v SOA zaznamu prislusne zony.

CO s espolehlivosti tyce - to, ze mi nekdo deka pro domenu registratora neznamena automaticky, ze mam u nej tak enameservery. Vyber spolehliveho DNS hostera tak neni omezen pouze na registratory.

Převedl jsem svoje emaily přes Google Apps na Gmail, mám teď u emailů několik MX záznamů: ASPMX.L.GOOGLE.COM, ALT1.ASPMX.L.GOOGLE.COM, ALT2.ASPMX.L.GOOGLE.COM, ASPMX2.GOOGLEMAIL.COM, ASPMX3.GOOGLEMAIL.COM,
ASPMX4.GOOGLEMAIL.COM, ASPMX5.GOOGLEMAIL.COM.

(WWW mám normálně na webserveru v Česku)

Napadlo mě, jestli se v případě havárie serverů Googlu (výpadek proudu v jejich serverovně) nemohou moje maily ztratit, když všechny MX záznamy jsou v doméně .COM. Myslíte, že je tento způsob převedení emailů bezpečný?

Myslíte, že převedení na servery Googlu bylo to nejlepší, co jsem pro svoje emaily mohl udělat? Je to perspektivně rozumné řešení, nebo by bylo lepší, abych třeba sekundární MX záznam vedl ještě u některé české firmy?

Ano, až vypadne proud u Gůglů v serverovně a přestane fungovat doména .com, tak to budete mít blbé.

MX ještě u nějaké české firmy to výrazně vylepší, takže neváhejte, někde u Grillů v podkroví se třeba místo pro jeden MX záznam najde.

někde u Grillů v podkroví

ROFL

JJ, fór dobrej, ale mám lehce obavu, že původní tazatel jej tolik neocení...

Jest zde prosím někdo, kdo je schopen&ochoten původní dotaz ("Má smysl shánět se po [vlastním] záložním poštovním serveru, mám-li poštu pro svou doménu primárně řešenu přes Google Apps?") věcně zodpovědět? Jk svou sžíravou ironií zřejmě naznačuje, že nikoliv, ale myslí si to opravdu i ostatní místní odborníci? Mě by to také celkem zajímalo...

Původní tazatel má hlavně chaos ve svém dotazu. Zřejmě systém DNS vůbec nechápe.

Znamená snad něco, že jsou všechny MX záznamy v .com? Neznamená!

GMail je geograficky distribuovaný a o maily pravděpodobně nepřijdete ani při výbuchu jaderné bomby nad jedním serverhousem. To víte, to není Seznam, kde ze schránek mizí maily téměř pravidelně. Je rozdíl, jestli architekturu systému navrhuje nedostudovaný velkopodnikatel, anebo nositelé Nobelových cen.

Ono to neni jen o geograficke distribuovanosti, ale o celkove robustnosti reseni. Co se stane, kdyz Googlu klekne GFS, nejaky kus middleware nebo se jim potento smerovani?

Bohuzel posuzovat kvalitu architektury podle toho, zda je dotycny nositel nejakych cen, je cesta do pekel (mimochodem, Google zamestnava nejake nobelisty?).

Nicmene si pri peknem odpoledni dovolim odpoved na puvodni otazku. Pokud verite Google (ci komukoliv jinemu) natolik, ze u nej mate veskerou postu, tak mu muzete verit i v tom, ze ma rozumne vyresene sekundary.

Napriklad nejmenovany velky cesky webhoster neveri spravcum TLD jako je .com, .net nebo .cz (proto ma zaznam i v zone .cn), ale evidentne veri dostatecne svemu smerovani (ma vsechno v jednom ASu) :-)

> tak mu muzete verit i v tom, ze ma rozumne vyresene sekundary.

Srozumitelné a jasné, děkuji.

> Pokud verite Google natolik, ze u nej mate veskerou postu

To je právě ta otázka, kterou (na rozdíl od původního tazatele) jaksi nemám vyřešenu... :-) Gmail používám bezmála dva roky ke své naprosté spokojenosti, přesto si veškerou poštu stále nechávám posílat přes svou adresu v doméně .cz, kde se mi archivuje. Je to zbytečné, není to zbytečné, toť otázka... :-)

ROFL #2
Sakra, tahle diskuse s tajnymi narazkami na jistou osobu me nesmirne bavi. Go on :-)

Google nezaměstnává nijak zvlášt geniální lidi, tedy nijak přehnaně v porovnání s ostatními firmami, které navíc nemají předražené akcie a pomalu roztáčejí kola .COM boomu ve verzi 2.0 a nemaji také jen vapourware

nicméne Google často vydává tiskové zprávy o kvalitě stolice a jak víme, po dobré stolici nám to lépe myslí

Osobne verim, ze Google ma vse zminene vyresene. Oni si to nejen muzou dovolit, oni ani nemaji na vyber, protoze pri tech poctech serveru jsou havarie nevyhnutelne ...

Navic narozdil od seznamu si muzete zaplatit za garanci dostupnosti. Samozrejme nic nedostanete, kdyz nebude fungovat vas provider, ale kdyz padne jejich cluster, tak vas odskodni. Ale predpokladam, ze tady u nas moc SLA smluv neuzavrou.

ehm...tak myslím, že není důležité zda nobelova cena či jakákoli škola má přímý vliv na kvalitu čehokoli, to asi sotva... nějak prvaděpodobnostně možná ano, ale to je asi tak všechno... a také je třeba říct, že i u googlu je architektuira tvořena endostudovanými velkopodnikateli, jen tak pro přesnost, když už se zde pasujete do role "chytrého"...:-))

No, hlavně aby to dobře fungovalo. Jestli je ten Google bílej, černej, nebo teplej, mi je docela jedno :-)

Když už jsme u těch otců zakladatelů, tak Larry Page i Sergey Brin univerzitu dostudovali... To jen poznámka, abych dostál závazkům toho "chytrého"!

Míchání autoritativních a cachovaných dat na jednom stroji může zapříčit problémy, o kterých se nikomu ani nezdálo.

Pokud takovyto server jako vyrovnavaci neslouzi oficialne, ma potencialni problem pouze ten, ktery ho takto (zne)uziva. A je to jeho vlastni pitomost. Navic cache resolveru je v beznych implementacich znacne omezena, takze to ma i pragmaticke duvody.

Problemama myslite to plneni logu o neautorizovanem (a odmitnutem) update nejake zony?

A pokud jako nespravne berete i odchyleni od doporucenych hodnot v SOA, ktere vznilo v dobe komutovanych linek uzasnych kapacit a skutecne "prodlevove" <g> prepinaneho IP, pak vezte, ze existuji modernejsi aplikace/systemy, kterym tyto historicke konstanty nevyhovuji.

S údaji v SOA s vámi souhlasím, také to v metodice testu na http://www.pweb.cz/dns/test-index.html vysvětluju, a také proto je většina odchylek od doporučení u těchto údajů kvalifikována jen jako "upozornění" (=není v souladu s doporučením, ale ničemu to nevadí).

Problém míchání autoritativních a cachovaných dat se skutečně týká hlavně "oficiálních" cachovacích serverů. To je v metodice také více rozepsáno.

Tak jeste jednou a pomalu: F-ROOT a AS112 jsou dve naprosto rozdilne veci. Shodou okolnosti v Praze najdeme oboji, nicmene F-ROOT sponzoruje CZ.NIC, kdezto AS112 NIX.CZ.
Dale opakovat ad zblblilitum...

Ano přiznávám, že v článku je chybně uveden článek o AS112.

AS112 funguje jako "pohlcovač" dotazů na reverzní záznamy neveřejných IP a F-ROOT funguje jako kopie kořenových DNS.

Konstruktivní příspěvek - chcete-li sns v jiné síti, v jiném AS, fyzicky jinde

nabízím výměnu provozu sekundárního ns (já přidám vaše domény, vy moje)

Nepiště pokud máte server v AS15685 nebo AS29208 nebo fyzicky na Želivského :)

A co takhle zverejnit seznam webhosteru, jejihz DNS byly v poradku? Alespon by se videlo, kde na to kaslou a kde ne. ;)

Pěkně jste je všechny naházel do jednoho pytle. Jak se vám na to asi dá odpovědět?

Proč je špatně, že 41793 domén má všechny DNS v jedné podsíti? Pokud tam mám i všechny počítače oné domény, tak je přece jedno, zda se na ně nedostanu kvůli tomu, že nezjistím IP-adresu nebo kvůli tomu, že mi vypadla linka do oné podsítě.

Inu protoze existuji davkove sluzby, ktere se chovaji jinak (a lepe), kdyz prislusny DNS zaznam existuje. Prikladem muze byt napriklad sluzba elektronicke posty (AKA SMTP). Nerad bych se opakoval, takze zbytek treba na mem blogu.

Mimochodem, argumentovat studentovi MFF, ze administratori te zony nejsou schopni udrzovat svuj system v provozu v souladu s best current practice, je trosku farizejstvi, nemyslite? Nebo mate za to, ze na MFF konfiguruji postovni servery studenti bezneho studia?

Vážený pane profesore Anonymní,

po přečtení Vašich příspěvků jsem se rozhodl k okamžitému ukončení studia na MFF, jelikož z vašeho vyprávění jasně vyplývá, že VŠICHNI na MFF jsou naprosto neschopní tupci a ignoranti a já tam ztrácel spoustu let studiem špatného nastavování mailserverů.

Děkuji, že jste mi pomohl otevřít oči a poznat pravdu

:-P

• E-mail je sluzba davkova.
• System dorucovani posty se chova jinak v pripade, ze cilovy MTA je nedostupny a zaznam v DNS existuje a jinak v pripade, ze cilovy MTA je nedostupny a DNS zaznam neexistuje.

V prvnim pripade to odesle na zalozni MTA nebo uschova u sebe ve fronte (pokud neni dostupny zadny MTA) a v druhem pripade neprodlene vrati uzivateli zpravu, ze zasilku nelze dorucit.

Uzivatel v anonymite, zadne konkretni udaje, tezko rict, u koho byla vlastne chyba.

Vypada to na neci urazenou jesitnost nebo studenta CVUT (s temi se obcas takhle navzajem popichujeme). Nekdo proste preferuje kritizovat anonymne, nekdo si za svoji praci (i pripadnymi chybami, ke kterym jiste dojit mohlo a muze) stoji plnym jmenem.

Aby bylo jasno - pred peti lety jsem uz skoro jiste DNS i SMTP servery MFF UK konfiguroval ja.

Jestli se mi tedy anonymovi nepodarilo neco mi vysvetlit (a je otazka, jestli vubec nekdy k nejake vymene doslo a neni to cele jen zlostny vymysl), tak skoro jiste v pripade, ze odesilatel pozadoval abychom mu tolerovali nejake vady v jeho DNS. Je mozne, ze to jsem odmitnul a tvrzenim, ze dotycny nema ve sve siti poradek ho urazil. Kdo vi. Tezko reagovat na nekonkretni anonym ...

"Někteří lidé mají také ve zvyku si jeden nebo více DNS serverů dávat k sobě domů ..."

Z tohodle odstavce, pokud umim cesky, je tedy zrejme, ze je lepsi mit DNS na dialupu doma, jelikoz housingovy centra maj vypadky eletriny. ?? ;)

Mimochodem, taky mam svuj DNS doma, kdyz semo tamo neco nejde (hodiny rocne), je tu prece jeste zalozni (u kamose) a druhej zalozni (u druhyho kamose). Kupodivu, narozdil od "profesionalu", se mi jeste nestalo, ze by domena vypadla uplne na nekolik hodin.

BTW: viz jedna predchozi reakce, nebylo by od veci spis udelat stats KDO ma nejpruserovejsi DNS (a seradit podle poctu hostovanych domen). Osobne znam min dva "profi" hostery, kteri maji vsechny DNS na stejnym subnetu a neni to tak dlouho, co to jednomu z nich chciplo a skorem celej den nebyly ty domeny vpodstate dostupny.

hmm, co trebas forpsi.cz

ns.forpsi.cn. 1689 IN A 81.2.209.235
ns.forpsi.cz. 1687 IN A 81.2.209.185
ns.forpsi.us. 1683 IN A 81.2.209.155
ns.forpsi.net. 83290 IN A 81.2.194.130

+ trace, vse na jednom miste, hlavne ze maj 4 na ruznych tld.

Ono je lepsi mit servery doma u tri lidi ve trech mestech pres tri providery nez v jednom serverhousinu na jednom subnetu. A jeste lepsi je mit primarni DNS v serverhousingu a K TOMU jeste u tri provideru "doma" ...

Vcera mel na Linuxovem vikendu Ondrej Filip nadhernou prednasku na ktere mimochodem odpovedel na vsechny dotazy co tu padly + uvedl furu dalsich zajimavosti o tom jak zajistit vysokou spolehlivost a popisoval i prevence utoku proti korenovym nameserverum. Vcetne realnych zaznamu provozu, ukazujicich jak je ochrana ucinna.

Takze budete muset pockat, az bude zaznam.

A mimochodem mit nameserver doma za pomalou linkou (nejlepe asymetrickym ADSL) je pekna blbost, protoze tim strasne zpomalujete resolving. Nameserver ma byt vykonny stroj na pateri s dobrou dostupnosti.

Ten nameserver v top level domene cina je prima. To naprosto zasadne zpomali resolving, protoze kdyz si pres round robin vyberete jako prvni ten cinsky zaznam, tak si pockate peknych par set milisekund na zjisteni, kam je delegovan. Ale bezny franta uzivatel je jiste u vytrzeni z toho, jak je jeho provider cool. O vsech nameserverech v jednom C rozsahu skoda slov, skoro bych ocekaval, ze to bude jeden stroj a v lepsim pripade bude mit dve sitove karty v bondingu.

Soucasne feela ukazoval, jak je f-root v Praze malo zatizeny, jak tak koukam neni divu, kdybych mel vyjmenovat vsechny providery co jsem ted vyzkousel a neumi jej pouzivat, tak bych se asi nevesel do omezeni delky prispevku. Dtto AS112, NIX by asi mel udelat skoleni pro spravce BGP u svych clenu.

Jenze oboje funguje jen kdyz nakoupite patricny AS ze spravneho smeru, nejlepe pres NIX.CZ.

Nameserver v .cn ještě není konec grotesky, dotazem na NS zjistíte, že forpsi.cn má ns ns.forpsi.net, ns.forpsi.cz, ns.forpsi.net, ale nikoli ns.forpsi.cn!! Takze tld namserver cn nemůže poskytnou glue a bude se resolvovat dál.

Ještě to mohli dovést k dokonalosti tak, že by forpsi.net na forpsi.us měly taky ns jen z jiných tld, jediné glue by bylo v cz. Vlastně ještě lepší by bylo, kdyby glue nebylo nikde.