Ini adalah Pertanyaan Canonical tentang apakah akan mengalihdayakan resolusi DNS untuk domain sendiri

Saat ini saya memiliki ISP saya yang menyediakan DNS untuk domain saya, tetapi mereka memberlakukan batasan untuk menambahkan catatan. Karena itu, saya berpikir untuk menjalankan DNS saya sendiri.

Apakah Anda lebih suka meng-host DNS Anda sendiri, atau lebih baik ISP Anda melakukan ini?

Apakah ada alternatif yang bisa saya lihat?

Saya tidak akan menjalankan server DNS saya sendiri - dalam kasus saya, perusahaan hosting yang meng-host situs web saya menyediakan layanan DNS gratis. Ada juga alternatif, perusahaan yang tidak melakukan apa pun selain hosting DNS ( DNS Made Easy terlintas dalam pikiran, tetapi ada banyak lainnya) yang merupakan hal yang mungkin harus Anda perhatikan.

Alasan saya tidak akan melakukannya sendiri adalah karena DNS seharusnya cukup andal, dan kecuali Anda memiliki jaringan server sendiri yang terdistribusi secara geografis, Anda akan meletakkan semua telur Anda dalam satu keranjang, sehingga bisa dikatakan. Juga, ada banyak server DNS khusus di luar sana, cukup sehingga Anda tidak perlu memulai yang baru.

Kami selalu meng-host DNS kami sendiri (DNS membalik yang lebih disukai juga). Ini memungkinkan kami untuk melakukan perubahan darurat tanpa bergantung pada pihak ketiga. Jika Anda memiliki lebih dari satu lokasi, mudah untuk menyiapkan tingkat redundasi yang dapat diterima untuk server DNS Anda.

Jika Anda tidak memiliki banyak situs, maka saya akan mempertimbangkan seseorang yang secara khusus melakukan hosting DNS (BUKAN ISP Anda) dengan antarmuka web untuk perubahan. Cari juga dukungan 24x7 dan SLA yang layak.

Untuk pengaturan DNS yang baik dan andal untuk domain Anda, Anda harus ...

• Minimal dua server DNS otoritatif untuk domain Anda;
• Server DNS harus terhubung ke jaringan fisik dan catu daya yang berbeda;
• Server DNS harus berada di area geografis yang berbeda.

Karena kecil kemungkinan Anda memiliki akses ke infrastruktur jaringan di atas, Anda lebih baik memilih penyedia hosting DNS yang memiliki reputasi (seperti yang orang lain sarankan) yang memiliki infrastruktur jaringan di atas.

Selama bertahun-tahun saya menjalankan server DNS saya sendiri menggunakan BIND (versi 8 & 9) tanpa kesulitan besar. Saya menyimpan konfigurasi saya dalam kontrol versi dengan pemeriksaan pasca-komit yang akan memvalidasi file zona dan kemudian meminta server DNS saya memeriksa file zona secara berkala. Masalahnya selalu memastikan nomor seri SOA diperbarui dengan setiap komit yang terdorong keluar jika server caching tidak akan memperbarui.

Bertahun-tahun kemudian saya bekerja dengan djbdns karena formatnya ideal untuk memiliki skrip otomatis untuk mengelola zona dan tidak menderita masalah nomor seri SOA yang sama yang harus saya hadapi dengan menggunakan BIND. Namun memang memiliki masalah sendiri dengan harus memformat set catatan sumber daya tertentu untuk membuatnya diterima.

Karena saya menemukan banyak lalu lintas saya adalah DNS dan harus memelihara server DNS primer dan sekunder untuk menyenangkan para pendaftar saya sejak itu pindah ke menggunakan EasyDNS untuk kebutuhan DNS saya. Antarmuka web mereka mudah dikelola dan memberi saya fleksibilitas yang saya butuhkan untuk mengatur set RR saya. Saya juga merasa mudah untuk bekerja daripada yang disediakan oleh beberapa penyedia hosting seperti 1 & 1 yang membatasi set RR yang tersedia yang dapat Anda masukkan, atau bahkan pendaftar domain seperti Network Solutions yang hanya berfungsi jika Anda menggunakan Windows untuk mengelola DNS Anda.

Untuk domain pribadi saya (dan beberapa domain teman saya bantu), kami meng-host DNS kami sendiri dan pendaftar saya (Gandi) menyediakan DNS sekunder. Atau teman di jaringan lain menyediakan sekunder. Gandi tidak segera memperbarui zona, mereka sepertinya memeriksa sekali setiap 24 jam atau lebih, tetapi perubahan sangat jarang; berfungsi cukup baik bagi kami, dan server mereka mungkin jauh lebih andal dari server kami.

Di pekerjaan saya, kami melakukan DNS kami sendiri dan penyedia jaringan hulu kami menyediakan DNS sekunder. Namun, kami adalah universitas dan 99% pengguna kami ada di tempat; jika jaringan lokal sedang down, tidak masalah jika DNS sedang down. Juga, kami memiliki kelas-B (/ 16) penuh dengan sekitar 25k catatan DNS (ditambah catatan DNS terbalik 25k, tentu saja), yang tampaknya agak canggung untuk dikelola melalui antarmuka web. Server DNS lokal kami sangat tersedia dan sangat cepat.

Saya sudah melakukan keduanya. Mungkin ada manfaat dengan hosting milik Anda sendiri: Anda pasti belajar banyak tentang cara kerja DNS ketika bos Anda menanyakan mengapa perlu waktu lama. Juga, Anda jauh lebih mengendalikan zona Anda. Ini tidak selalu sekuat seharusnya, sebagian besar karena sifat terdistribusi hirarkis dari DNS - tetapi setiap sekarang dan lagi memang berguna. Tidak diragukan lagi jika Anda dapat membuat penyedia Anda mengalokasikan Anda sebagai SOA untuk DNS balik blok IP Anda, dengan asumsi Anda memilikinya.

Namun, semua komentar di atas tentang bagaimana Anda benar-benar harus memiliki banyak kegagalan kegagalan built in di atas. Server di berbagai pusat data di wilayah geografis yang berbeda adalah penting. Setelah berhasil melalui pemadaman listrik besar-besaran di Timur Laut pada tahun 2003 - kita semua belajar bahwa memiliki kotak di dua pusat data yang berbeda di kota yang sama, atau bahkan provinsi atau negara bagian - belum tentu cukup perlindungan. Kegembiraan yang menendang ketika Anda menyadari baterai Anda dan kemudian generator diesel menyelamatkan pantat Anda dengan cepat diganti dengan ketakutan yang disebabkan oleh kesadaran bahwa Anda sekarang mengemudi di ban cadangan Anda.

Saya selalu menjalankan server DNS internal kami untuk LAN. Sangat berguna untuk memiliki kontrol penuh atas DNS yang digunakan jaringan Anda secara internal - dan jika listrik padam di kantor Anda, server DNS internal Anda karena berada di rak server mungkin menggunakan baterai atau baterai dan diesel, sementara PC Anda tidak akan - jadi klien Anda akan offline jauh sebelum server.

Saya membaca semua solusi ini dengan sedikit hiburan karena kami berhasil secara tidak sengaja memenuhi semua "persyaratan" ini dengan hosting DNS primer kami dari jalur DSL statis, dan memiliki pendaftar (yang berada di benua lain) memberikan DNS sekunder pada koneksi yang jauh lebih serius dan dapat diandalkan. Dengan cara ini, kami mendapatkan semua fleksibilitas menggunakan bind dan mengatur semua catatan sementara tetap masuk akal bahwa sekunder akan diperbarui untuk mencerminkan perubahan ini dan akan tersedia jika terjadi manhole catching fire, untuk mengutip satu kejadian.

Ini secara efektif memenuhi:
"Minimal dua server DNS yang sah untuk domain Anda;"
"Server DNS harus terhubung ke jaringan fisik dan catu daya yang berbeda;"
"Server DNS harus berada di wilayah geografis yang berbeda."

Lihatlah Dyn.com ; mereka memiliki semua jenis layanan terkait DNS seperti hosting DNS, DNS dinamis, MailHop, dll. Saya telah menemukan mereka dapat diandalkan dan telah menggunakannya selama 5 tahun.

Tergantung.

Saya sudah menjalankan DNS saya sendiri untuk berbagai pekerjaan saya sejak akhir 80-an (BSD 4.3c). Untuk pekerjaan, saya selalu meng-host DNS saya sendiri, tetapi saya selalu memiliki beberapa lokasi pusat data, atau dapat bertukar DNS sekunder dengan mitra. Misalnya, pada pekerjaan terakhir saya, kami melakukan DNS sekunder untuk .EDU yang berbeda (mereka berada di MN, kami berada di CA), dan mereka melakukan hal yang sama untuk kami. Keragaman geografis dan jaringan.

Atau, pada pekerjaan saya sekarang, kami memiliki pusat data kami sendiri di pantai timur dan barat (AS). Hosting DNS kita sendiri memungkinkan kita memasukkan catatan DNS tidak biasa apa pun yang mungkin kita perlukan (SVR, TXT, dll.) Yang mungkin tidak didukung oleh beberapa layanan DNS GUI. Dan, kita dapat mengubah TTL kapan pun kita mau; kami memiliki cukup banyak fleksibilitas, dengan biaya melakukannya sendiri.

Untuk barang-barang rumahan, saya sudah melakukan keduanya. Untuk beberapa domain tempat saya melakukan hal-hal yang tidak biasa, atau membutuhkan banyak fleksibilitas, saya masih menjalankan server DNS master "tersembunyi" saya sendiri dan bertukar layanan DNS publik dengan yang lain yang melakukan hal yang sama. Saya menggunakan RCS ke versi file zona kontrol untuk manajemen konfigurasi, jadi saya bisa melihat seluruh sejarah perubahan zona kembali ke awal waktu. Untuk hal-hal sederhana seperti domain dengan satu blog atau server web umum (satu catatan A, atau satu CNAME), lebih mudah menggunakan pendaftar domain layanan DNS di mana tersedia dan sekarang khawatir tentang CM.

Ini tradeoff. Kontrol dan fleksibilitas tertinggi datang dengan biaya menangani keragaman sendiri, menjalankan beberapa server, menangani kegagalan perangkat keras / lunak, dll. Jika Anda tidak memerlukan fleksibilitas atau kontrol total, maka penyedia DNS tingkat atas mana pun akan selesaikan masalah Anda, mungkin dengan biaya total yang lebih rendah.

Seperti yang telah disebutkan di utas ini, ada beberapa kasus khusus dengan DNS, perbedaan paling signifikan adalah antara penyebaran server nama otoritatif dan caching.

1. Jika Anda memerlukan server DNS hanya untuk menyelesaikan sumber daya Internet, beberapa resolver DNS gratisan adalah pilihan bijak. Saya pribadi menggunakan PowerDNS recursor (pdns-recursor) di Linux.

2. Untuk memperbaiki infrastruktur eksternal Anda, seperti situs web atau MX, saya tidak akan menggunakan NSes internal (jika kita berbicara tentang SOHO di sini). Gunakan beberapa layanan yang baik, dapat diandalkan, anti peluru seperti DNSmadeasy . Saya menggunakan paket bisnis mereka, dan itu mengguncang sementara sangat terjangkau.

Saya sudah menggunakan Zonedit atau bertahun-tahun. Ini murah (atau gratis) dan saya telah menambahkan banyak CNAME, A, MX, TXT, SRV, dan catatan lainnya.

Kami baru-baru ini membawa DNS publik kami di rumah ketika kami membawa semua layanan kami di rumah. Ini memungkinkan kami untuk memperbarui semuanya secepat yang kami butuhkan. Memiliki DNS yang didistribusikan secara geografis bukanlah persyaratan bagi kami saat ini karena server web semuanya ada di situs yang sama.

Saya memiliki yang terbaik dari kedua dunia.

Saya meng-host DNS publik saya untuk situs web saya dan catatan MX saya "di tempat lain". Ini dapat diandalkan, aman, bekerja, saya dapat memodifikasinya sesuka hati. Saya membayar layanan dan saya senang dengan nilainya.

Tapi di rumah, saya menjalankan caching server DNS saya sendiri daripada mengandalkan ISP saya. ISP saya memiliki kebiasaan kehilangan DNS, memiliki DNS yang lambat, DNS yang tidak valid, dan kadang-kadang mereka ingin memutar balikkan DNS sehingga kegagalan pergi ke tempat-tempat yang mereka pikir saya tertarik. Saya tidak tertarik menggunakan DNS ISP saya. Jadi saya punya server DNS caching saya sendiri dan melakukannya sendiri. Itu sedikit usaha untuk mengatur di awal (mungkin 2 jam), tapi bersih dan saya punya DNS yang andal. Sekali sebulan, tugas cron menginterogasi server root dan me-refresh tabel petunjuk. Mungkin setahun sekali saya harus mengutak-atiknya, seperti mengirim doubleclick.com ke 127.0.0.1 atau serupa. Selain itu, tidak memerlukan intervensi dan bekerja dengan baik.

Jika Anda memutuskan untuk meng-host DNS Anda sendiri karena cinta tuhan memiliki DUA server dns per situs. Satu untuk DNS eksternal Anda, langsung terpasang ke firewall Anda agar dunia menemukan Anda. Dan satu terpisah di dalam jaringan Anda untuk dns inhouse Anda.

Saya belum bisa berkomentar, tapi saya melakukan hal yang sama dengan freiheit. Kami menjalankan DNS utama kami di sini di DMZ kami, dan ISP kami memiliki beberapa server DNS budak di seluruh negeri yang segera diperbarui setelah kami membuat perubahan di DNS primer.

Ini memberikan yang terbaik dari kedua dunia; kontrol langsung plus redunansi.

Ada pro dan kontra untuk setiap pendekatan, tetapi saya jelas lebih suka hosting DNS internal Anda secara internal. Daftar hal-hal yang Anda andalkan untuk layanan jaringan dasar jika Anda meng-host-nya secara eksternal membingungkan. CEO mungkin berpikir itu pintar untuk menghemat uang di server DNS dengan hosting eksternal, tetapi apa yang akan dia pikirkan ketika dia tidak bisa mendapatkan emailnya jika tautan internetnya turun?

Dari pengalaman, jika Anda ingin menarik serangan penolakan layanan, host DNS Anda sendiri. Dan situs web Anda sendiri.

Saya percaya ada beberapa hal yang tidak boleh Anda lakukan sendiri. Hosting DNS adalah salah satunya. Seperti banyak orang katakan, Anda akan perlu server yang berlebihan, koneksi dan lokasi fisik dan Anda masih tidak akan mendekati ketahanan bahkan perusahaan hosting yang lebih kecil.

Manfaat terbesar untuk meng-hosting DNS Anda sendiri adalah bahwa perubahan dapat segera dilakukan. Perlu mempersingkat TTL Anda untuk migrasi yang akan datang? Anda mungkin dapat menulis skrip yang melakukan itu di server Anda sendiri; untuk DNS yang dihosting, Anda mungkin harus masuk dan secara manual mengubah catatan, atau lebih buruk lagi, memanggil penyedia, melewati 3 tingkat dukungan sampai Anda akhirnya mencapai seseorang yang bisa mengeja DNS, hanya agar mereka memberi tahu Anda bahwa mereka akan mengirimkan perubahan dalam 2-3 hari.

Saya menjalankan DNS saya sendiri menggunakan BIND di server Linux. Saat ini saya memiliki empat yang berlokasi di London Inggris, Miami FL, San Jose CA dan Singapura. Bekerja dengan baik dan saya memiliki kendali penuh. Stabilitas pusat data sangat penting, karena itu saya telah memilih DC yang bagus untuk menjalankan server (tidak bergantung pada ISP atau infrastruktur 'tidak dikenal' lainnya). Saya dapat mengatur server DNS dan layanan lainnya di mana saja di dunia menggunakan DC kelas dunia yang saya pilih berdasarkan kriteria yang ketat. DNS solid rock sangat penting untuk layanan email dan web yang saya jalankan.

Haruskah kita meng-host nameserver kita sendiri?

Ya, dan Anda juga harus menggunakan satu bijih lagi dari penyedia DNS pihak ke-3 yang besar. Solusi hibrida kemungkinan merupakan pendekatan jangka panjang teraman untuk beberapa alasan, terutama jika Anda adalah bisnis yang memiliki tanah SLA atau persyaratan kontrak untuk pelanggan Anda. Terlebih lagi jika Anda b2b.

Jika master DNS server Anda (tersembunyi atau publik) adalah sumber kebenaran Anda, maka Anda melindungi diri Anda secara operasional dari terjebak dalam kemampuan khusus vendor. Setelah Anda mulai menggunakan fitur bagus mereka yang melampaui DNS dasar, Anda mungkin menemukan bahwa beralih ke penyedia lain atau hosting DNS Anda sendiri bermasalah, karena Anda sekarang harus meniru kemampuan itu. Contohnya adalah pemeriksaan kesehatan situs dan kegagalan DNS yang diberikan Dyn dan UltraDNS. Fitur-fitur itu hebat, tetapi harus dianggap sekali saja dan bukan ketergantungan. Fitur-fitur ini juga tidak mereplikasi dengan baik dari penyedia ke penyedia.

Jika Anda hanya memiliki vendor pihak ketiga, maka waktu aktif Anda mungkin akan terpengaruh ketika mereka berada di bawah serangan DDoS yang ditargetkan. Jika Anda hanya memiliki server DNS Anda sendiri, maka uptime Anda mungkin terpengaruh ketika Anda menjadi target serangan DDoS.

Jika Anda memiliki satu atau lebih penyedia DNS dan server DNS terdistribusi Anda sendiri yang menjadi budak bagi server DNS master tersembunyi yang Anda kontrol, maka Anda akan memastikan bahwa Anda tidak dikunci ke vendor tertentu dan bahwa Anda mempertahankan kendali atas zona Anda setiap saat dan serangan harus menurunkan server Anda dan satu atau lebih penyedia utama yang menjadi budak server Anda. Apa pun yang kurang dari itu akan menjadi degradasi layanan vs pemadaman kritis.

Keuntungan lain dari memiliki server master Anda sendiri (idealnya tersembunyi, tidak dipublikasikan) adalah Anda dapat membangun API Anda sendiri dan memperbaruinya di manor apa pun yang sesuai dengan kebutuhan bisnis Anda. Dengan penyedia DNS pihak ketiga, Anda perlu beradaptasi dengan API mereka. Setiap vendor memiliki sendiri; atau dalam beberapa kasus, hanya memiliki UI web.

Lebih lanjut, jika master Anda berada di bawah kendali Anda dan vendor mengalami masalah, maka salah satu server slave Anda yang masih dapat mencapai master Anda akan mendapatkan pembaruan. Ini adalah sesuatu yang Anda harapkan setelah Anda menyadari bahwa memiliki pihak ke-3 sebagai tuan Anda adalah kesalahan selama insiden DDoS yang besar dan Anda tidak dapat mengubah server di penyedia yang tidak sedang diserang.

Dari perspektif hukum, mencegah vendor lock-in juga penting untuk bisnis Anda. Sebagai contoh, Dyn berpotensi dibeli oleh Oracle. Ini menempatkan mereka pada posisi unik untuk mengumpulkan statistik DNS pada semua pelanggan Dyn. Ada aspek kompetitif dari hal ini yang dapat menimbulkan risiko hukum. Yang mengatakan, saya bukan pengacara, jadi Anda harus berkonsultasi dengan tim hukum dan PR Anda tentang masalah itu.

Ada banyak aspek lain dari topik ini jika kita ingin menggali ke dalam gulma.

[Sunting] Jika ini hanya untuk domain pribadi / hobi kecil, maka 2 VM yang tidak berada di pusat data yang sama satu sama lain, menjalankan daemon DNS kecil lebih dari cukup. Saya melakukan itu untuk domain pribadi saya sendiri. Tidak jelas bagi saya apakah domain Anda berarti bisnis atau hanya untuk hobi. Apa pun VM terkecil yang Anda dapatkan lebih dari cukup. Saya menggunakan rbldnsd untuk domain saya; menggunakan TTL yang sangat tinggi pada catatan saya, karena membutuhkan 900 KB ram dan dapat menangani penyalahgunaan yang dilakukan orang.

Pikirkan hosting DNS sebagai dasar untuk layanan publik Anda. Dalam kasus saya, email sangat penting untuk bisnis kami. Jika Anda meng-host DNS Anda secara internal dan koneksi internet Anda terputus-putus catatan DNS Anda dapat menjadi basi, memaksa domain Anda tidak tersedia.

Jadi dalam kasus saya, jika data MX tidak dapat ditemukan untuk domain kami, email langsung ditolak.

Jadi, DNS saya sudah kami sediakan secara eksternal.

Jika data MX tersedia, tetapi koneksi internet kami tidak berfungsi, email akan terus mengantri di server yang mencoba mengirim email ke domain kami.

Tergantung. ™

Saya sudah menjalankan server dan mengelola domain saya sendiri sejak tahun 2002.

Saya sering menggunakan server DNS penyedia saya.

Jumlah server saya di IP saya tersedia, tetapi DNS saya tidak, terlalu banyak.

Inilah kisah-kisah perang saya:

• Satu penyedia besar di Moskow (yang berbasis VZ pertama) memiliki VPS saya di "nilai" DC murah, tetapi DNS mereka berada di DC state-of-the-art premium dengan lalu lintas mahal, dalam dua berbeda / 24 subnet, seperti yang disyaratkan oleh beberapa TLD pada saat itu . Pada satu titik, sebuah bencana melanda (mungkin pemadaman listrik tahun 2005? ), Dan DC mahal mereka offline, dan situs saya (masih di Moskow, tetapi dalam "nilai" DC) hanya dapat diakses dengan alamat IP-nya.

  Menariknya, bahkan sebelum insiden apa pun, saya ingat dengan jelas melakukan traceroute, dan, melihat DC yang sama untuk keduanya ns1dan ns2ISP saya, meminta mereka untuk memindahkan satu ke DC "saya" juga, untuk geo-redundansi; mereka menolak gagasan redundansi geo, karena server sudah di DC paling premium mungkin.

• Saya sudah memiliki penyedia lain (yang berbasis ISP pertama sistem), di mana mereka memiliki satu di tempat, dan satu lagi di luar negeri. Singkat cerita, seluruh setup sangat buggy, dan server "luar negeri" sering gagal mempertahankan zona, jadi, domain saya secara efektif memiliki titik kegagalan tambahan dan tidak akan dapat diakses bahkan jika seluruh server saya masih berjalan dengan lancar.

• Saya sudah memiliki pendaftar yang menjalankan jaringannya sendiri. Itu turun setiap sekarang dan lagi, meskipun server off-site saya naik. DNS saya turun.

• Saya baru-baru ini menggunakan beberapa penyedia cloud besar untuk sekunder, tempat saya sendiri menjalankan master tersembunyi. Kedua penyedia mengubah pengaturan mereka setidaknya sekali; tidak pernah dengan pengumuman publik; beberapa domain saya berhenti diselesaikan. Terjadi pada teman saya, juga, dengan salah satu penyedia yang sama. Ini terjadi lebih sering dengan layanan pihak ketiga daripada orang yang mau mengakui di depan umum.

Singkatnya, http://cr.yp.to/djbdns/third-party.html benar-benar benar pada topik.

Biaya karena harus repot dengan DNS pihak ketiga seringkali tidak sepadan dengan manfaatnya.

Negatif memiliki DNS pihak ketiga sering diabaikan secara tidak adil.

Saya akan mengatakan bahwa kecuali domain Anda sudah menggunakan layanan pihak ketiga (misalnya, untuk web, surat, suara atau teks), kemudian menambahkan DNS pihak ketiga hampir selalu menjadi kontraproduktif, dan bukan berarti praktik terbaik dalam setiap keadaan .