[GTER] Configuração de DNS autoritativos correto ou errado

Frederico A C Neves fneves at registro.br
Tue Jan 8 20:54:46 -02 2013


On Tue, Jan 08, 2013 at 07:39:27PM -0200, Patrick Barreto Petronetto wrote:
> O registro.br não faz esse tipo de verificação (nem acho necessário), ele
> só verifica se os servidores especificados tem autoridade sobre a zona, se
> tiver, esta ok.
> Na pratica a configuração de registro NS na zona não atrapalha seu
> funcionamento, você pode deixar até mesmo sem qualquer registro NS que seu
> domínio vai funcionar sem problemas.

Se ela não for igual ou um super-conjunto da delegação pode atrapalhar
e muito caso aponte para algo inexistente ou sem autoridade.

O mínimo necessário para que um conjunto de RRsets se comportem como
uma zona DNS são os registros SOA e NS. Registros NS no parent são
apenas hints e não tem autoridade.

> Não me lembro agora de nenhum sistema, aplicação ou serviço que utilize
> esse registro NS para qualquer coisa, se alguém souber e falar aqui, vou
> ficar feliz em aprender... =]

O protocolo DNS. No caso da zona ser assinada com DNSSEC o record NS
so é assinado no child. No parente ele não é assinado pois não é
autoritativo.

Records NS via de regra devem ser os mesmos no parent e child para o
correto funcionamento de uma zona. Casos aonde a configuração no
parent é um sub-conjunto do RRset do child são usuais em processos de
migração de delegação mas devem ser transitórios.

A credibilidade de RRsets na implementação de bons resolvers só é
promovida quando se obtêm registros com autoridade e isto ocorre em
especial no caso dos pontos de delegação.

Para quem tiver interesse em se aprofundar no assunto leiam 1034,
1035, 2181, 4033 e o draft já expirado
http://tools.ietf.org/html/draft-vixie-dnsext-resimprove-00

[]s
Fred



More information about the gter mailing list