web-dev-qa-db-fra.com

Est-il vrai qu'un serveur de noms doit répondre à des requêtes sur TCP?

Je suis le processus de mise en place d'une surveillance des serveurs DNS de plusieurs grands hôtes Web. Mon objectif est de comparer les temps de réponse des serveurs DNS en suivant leur réponse à Ping.

Dans le processus, j'ai découvert que les noms de bluehost ne répondent pas à Ping. J'ai essayé d'obtenir plus d'informations en exécutant chèque DNS pingdom sur bluehost.com et il a produit l'erreur suivante:

Nom Server Ns1.BlueHost.com (74.220.195.31) ne répond pas à des requêtes sur TCP.

[.____] Le serveur de noms n'a pas réussi à répondre aux requêtes envoyées sur TCP. Ceci est probablement dû au serveur de noms non configuré correctement ou en raison d'un filtrage mal configuré dans un pare-feu. C'est une idée fausse assez courante que DNS n'a pas besoin TCP sauf si elles fournissent des transferts de zone - peut-être que l'administrateur de noms de noms de noms n'est pas conscient que TCP est généralement une exigence .

J'aimerais connaître ce qui suit:

  • Dans quelle mesure la déclaration ci-dessus est-elle vraie?
  • Quelles sont les implications d'un serveur de noms ne répondant pas à des requêtes sur TCP?
domain-name-systemnameserver
24
Taras Mankovski

Le texte de diagnostic de pingdom est exactement correct. TCP est pas juste pour les transferts de zone.

Les implémentations de serveur DNS sont Maintenant "obligatoire" (dans tellement que tout RFC nécessite tout) pour prendre en charge TCP, par RFC 5966 , "Transport DNS Over TCP - Conditions de mise en œuvre ".

Notez qu'il s'agit d'une exigence sur la mise en oeuvre du logiciel serveur, elle est non Appliquer strictement à l'exploitation de n'importe quel serveur - la pratique opérationnelle n'est pas couverte.

Cela dit, si vos serveurs DNS particuliers ne sont pas configurés pour prendre en charge TCP ou si elles sont bloquées, l'effet à long terme sera une incapacité à prendre en charge la DNSSEC correctement. De même, toute autre donnée DNS qui cause des réponses à dépasser 512 octets pourrait être bloquée.

oB Disclaimer: J'ai écrit que RFC.

[~ # ~] Edit [~ # ~ ~] RFC 5966 a maintenant été remplacé par RFC 7766

48
Alnitak

il devrait supporter TCP et udp - the TCP est-il destiné aux réponses> 512 octets (qui incluraient des transferts de zone) (selon des trucs que j'ai lus, Quoi qu'il en soit. Je active habituellement TCP et UDP pour le NS i Exécutez ...)

3
Mark Regensberg