[GTER] Configuração de DNS autoritativos correto ou errado
Frederico A C Neves
fneves at registro.br
Tue Jan 8 20:54:46 -02 2013
On Tue, Jan 08, 2013 at 07:39:27PM -0200, Patrick Barreto Petronetto wrote:
> O registro.br não faz esse tipo de verificação (nem acho necessário), ele
> só verifica se os servidores especificados tem autoridade sobre a zona, se
> tiver, esta ok.
> Na pratica a configuração de registro NS na zona não atrapalha seu
> funcionamento, você pode deixar até mesmo sem qualquer registro NS que seu
> domínio vai funcionar sem problemas.
Se ela não for igual ou um super-conjunto da delegação pode atrapalhar
e muito caso aponte para algo inexistente ou sem autoridade.
O mínimo necessário para que um conjunto de RRsets se comportem como
uma zona DNS são os registros SOA e NS. Registros NS no parent são
apenas hints e não tem autoridade.
> Não me lembro agora de nenhum sistema, aplicação ou serviço que utilize
> esse registro NS para qualquer coisa, se alguém souber e falar aqui, vou
> ficar feliz em aprender... =]
O protocolo DNS. No caso da zona ser assinada com DNSSEC o record NS
so é assinado no child. No parente ele não é assinado pois não é
autoritativo.
Records NS via de regra devem ser os mesmos no parent e child para o
correto funcionamento de uma zona. Casos aonde a configuração no
parent é um sub-conjunto do RRset do child são usuais em processos de
migração de delegação mas devem ser transitórios.
A credibilidade de RRsets na implementação de bons resolvers só é
promovida quando se obtêm registros com autoridade e isto ocorre em
especial no caso dos pontos de delegação.
Para quem tiver interesse em se aprofundar no assunto leiam 1034,
1035, 2181, 4033 e o draft já expirado
http://tools.ietf.org/html/draft-vixie-dnsext-resimprove-00
[]s
Fred
More information about the gter
mailing list