Navigatie overslaan.
Start

Waarom is DNS zo moeilijk?

DNS is belangrijk, het is de lijm die het internet bij elkaar houdt.
Wat zou jij doen zonder DNS?

Surfen zou moeilijk gaan, ook al ken je het IP adres van de server. Veel websites zijn namelijk virtual hosts. (Je kan natuurlijk wel zelf je host-file aanmaken.)
Zonder DNS zou mail ook al niet meer aankomen.
Een hele hoop andere webapplicaties zullen ook stoppen met werken.

Ondanks die belangrijkheid hebben toch heel wat bedrijven en ISPs blijkbaar moeilijkheden om een DNS server op een deftige manier op te zetten. En dan heb ik het nog niet eens over de beveiliging van hun krakkemikkige servertjes.

Dit is dus exact de reden waarom ik mijn eigen DNS servers heb opgezet.
Dan weet ik tenminste dat het goed is gebeurd.
Ik voldoe aan alle relevante eisen die voor de DNS rootservers gesteld worden, behalve punt 3.2.1 en 3.3.8 van RFC 2870.
En als ik het kan, kunnen jullie het ook.

Hier zijn enkele tips:

  • DNS is niet om te lachen.
  • Lees de documentatie. Dat dient ervoor.
  • Lees de betreffende RFC's, zodat je tenminste een idee hebt wat DNS eigenlijk is.
  • Gebruik geen Micosoft DNS server als externe DNS server.
  • Je hebt minstens 2 servers nodig, 3 wordt aangeraden. Deze DNS servers moeten verspreid staan, in verschillende IP adres ranges voor redundantie.
  • Als je 2 servers hebt voor redundantie, doe het dan ineens goed. (Power, netwerk, locatie, software versie, etc, ...)
  • Gebruik authenticated zonetranfers en limiteer het tot je eigen DNS servers.
  • Zorg dat je glue records hebt in het parent domain voor al je DNS servers.
  • Zorg dat je configuratie in orde is. Ongeloofelijk veel DNS servers hebben ongeldige configuraties.

Gelukkig kan je de gezondheid van je domein gemakkelijk controleren.
Maar ondanks dit feit bakken veel bedrijven er nog niets van.

Neem nu bijvoorbeeld een willekeurig domein: root.be, "IT solutions for YOUR business".
http://www.dnsreport.com/tools/dnsreport.ch?domain=root.be

Wel, ik denk niet dat ik geneigd ben om dat bedrijf IT solutions voor mijn business te laten aanbieden.

Zo, hoe zit het dan met onze overheid?
http://www.dnsreport.com/tools/dnsreport.ch?domain=fedict.be
http://www.dnsreport.com/tools/dnsreport.ch?domain=fgov.be

Oei, ook gebuisd.
Misschien eens iemand in dienst nemen die behalve de juiste qualificaties ook de juiste kennis heeft? Als het zo verder gaat blijft E-gov blijkbaar nog ver weg.

Gelukkig zijn er ook goede voorbeelden:

http://www.dnsreport.com/tools/dnsreport.ch?domain=scarlet.be
Scarlet slaagt met vlag en wimpel.

Natuurlijk zeggen deze testen niet alles. Enkel het "zichtbare" gedeelte kan getest worden. Meestal is dat wel een goede indicatie voor de onderliggende structuur (of gebrek daaraan).

Hoe zit het bijvoorbeeld met procedures om DNS updates te doen? Wat zal er gebeuren bij een domain hijacking? Of DNS poisoning? Hoe zit het met de beveiliging van de server? Zijn er noodprocedures? Zijn er contactgegevens voorhanden?

Wel, bij mij is dat allemaal in orde.
Sinds gisteren is mijn "DNS structuur" af. Natuurlijk zal dit geregeld getest en bijgestuurd moeten worden, maar dat maakt het nu juist zo leuk.

Nu kan ik eindelijk aan mijn mail servers beginnen, want momenteel heb ik maar 1 (actieve) mailserver...