DNS - Como funciona? Master, Slave, Prim, Sec e Reverso? Original: matik.com.brEnviado por: admin em Sexta, 09 de Setembro de 2005 - 07:48:33 (Brasília) DNS é ainda a causa das mais belas confusões e pior que também a causa de diversosproblemas básicos no provedor de Internet. O DNS é provavelmente o maisimportante serviço que define se o serviço do provedor é bom ou ruim. Antes deconfigurar o DNS precisa entender como que ele funciona, caso contrário sem chancede que isso jamais funcione legal. Veja aqui como ...

Inicialmente precisamos entender de que devemos de separar dois aspectos. O DNSserve de um lado para os nossos usuários na rede local, discado ou wireless e de outrolado existe o mundo lá fora.

O DNS serve para os nossos usuários para que possam digitar o nome do servidor ouda URL e o DNS traduz para o número IP. Ficaria complicado se todo mundo precisalembrar do número IP do servidor, ceto? Fica muito mais fácil de digitarinfo.matik.com.br.

O DNS serve para os servidores e outros usuários fora da nossa rede para poderencontrar o nosso servidor WEB ou saber quem somos através do DNS reverso.

Especialmente o DNS reverso é muito esquecido mas ele é um fator muito importantepara o desempenho geral da nossa rede.

Caso estamos administrando apenas uma rede local sem Internet a questão DNS não émuito complicado porque podemos fazer o que queremos sem precisar de seguir asnormas que estão valendo na Internet. Assim que conectamos esta rede porém naInternet a coisa complica. Entra na jogada por exemplo a FAPESP exigindo umMASTER e um SLAVE e na questão do DNS Reverso entra na jogada aTeleoperadora que fornece os IPs. Agora a confusão está feita.

A confusão normalmente começa pelo Bug Brasileiro (ninguém lê manuais). Fuçandodescobrimos fácilmente se o parafuso solta virando para direita ou esquerda masquestões mais complicadas sem manual resultam normalmente em falhas ou danos.

A FAPESP publica um excelente documento sobre o procedimento de cadastro dedomínios. A Embratel publica também um excelente docuemnto de como configuraro DNS reverso e lógico no nosso site temos bastante documentos sobre a questãotécnica, é só pesquisar "DNS reverso named.conf" na busca na coluna da direita. Masvamos voltar ao "como funciona".

Conforme as normas Internet precisamos hoje dois servidores DNS. Isto porque umpode estar ocupado ou em manutenção e enquanto isso responde o outro. Aquichegamos ao primeiro ponto. Apesar de que os dois servidores DNS depende um dooutro ( slave (escravo) depende do master (mestre)) cada um deles consegueresponder sem a existência do outro. Você pode tranqüilamente desligar um dois doise o outro responde normalmente.

A relação master slave é simples. Basta que editamos a configuracão dos domínios no

master e indicamos no slave quem é o master daquele domínio. A partir de agoraapenas editamos eventuais alterações no master e o slave automaticamente atualiza-sepuxando a nova versão do master.

Este processo entre master e slave tem nada ver com a FAPES ou com qualquer outroassunto. É apenas uma configuração feita local pelo administrador do sistema. Sempreexiste somente um master mas podem existir diversos slaves.

Aparentemente os técnicos ficam confundidos porque estão sendo influenciados pelotermo DNS primário e secundário nas propriedades da rede do Windows. Só que istoé apenas uma ordem de pesquisa, ou seja, indica para o Windows apenas qual DNSdeve ser solicitado primeiro e caso este não responde qual o segundo. Sabendo entãoessa parte agora podemos já concluir que tanto faz se configuro no Windows comoprimário o MASTER ou o SLAVE porque cada um deles responde por ele mesmo.Obviamente configuro como primário o DNS mais próximo, por exemplo aquele queestá na minha subrede e não aquele da outra subrede.

Resumindo. A configuração DNS do cliente é apenas uma ordem de pesquisa e queposso configurar qualquer DNS como primário o secundário enquanto ele responde.Pode até ser um servidor DNS na China. A questão é o tempo de resposta. Assimbeneficio se configuro como primário o DNS que mais rápido responde.

E assim na FAPESP o assunto é exatamente igual. A FAPESP na hora de cadstrar umdomínio exige a indicação de um MASTER e um SLAVE pelo motivo de que umdeles pode estar fora e assim o outro responde. Mas também os servidores DNS daFAPESP apenas são clientes e assim tanto faz se configuro na FAPESP como mastero MEU master ou o MEU slave. Isso porque o MEY master e slave, cada um deles écapaz de responder por ele mesmo independente do outro.

Fica apenas por responsabilidade do administrador de que o MASTER e SLAVE delefuncionam entre eles com a atualização automática.

Dica: Uma boa prática e medida de segurança contra eventuais riscos de ataque oucontra hacker é o seguinte. Manter um servidor DNS Master na minha rede com IPinacessível pela Internet. Configurar dois Slaves atualizando-se a partir do meuMaster e que estes dois salves do meu Master com IP público. Agora uso estes doisslaves para serem o Master e o Slave na Fapesp e também o primário e Secundáriopara meus clientes. Nesta configuração posso ficar bastante tranqüilo contra tentativasde ataque DNS, até os mais sofisticados porque no pior caso eles consegueminfluenciar meus salves até a próxima alteração automática quando consultem meumaster novamente.

Agora o DNS reverso é muito importante, ele ainda é mais importante porque asfalhas dele não causam inacessibilidade. As falhas com o DNS reverso ficamescondidos e um inexperiente administrador nem percebe. Ele apenas acredita de quetem problemas na rede causando lentidão.

Devido a facilidade de poder "falsificar" o IP os servidores, especialmente osservidores de E-mail, consultem o DNS reverso para saber se o IP realmente existe.Caso não existe o reverso o servidor pode rejeitar o acesso ou hoje, com a quantidade

de SPAM ele nem comunica mais, apenas descarta a mensagem de e-mail. Inclusivequando não rejeita, este servidor executa várias tentativas de consultar o IP reverso eassim tem um tempo perdido até que o acesso realmente acontece. Este tempo para ousuário resulta em lentidão. Sobretudo cada consulta causa um trafego extra na rede.

O segredo com o DNS reverso e porque ele é "deixado para lá" é de que o provedorPRECISA da ajuda da teleoperadora que fornece os IPs para ele. Confirmeregulamentos o responsável pelo DNS reverso é o dono dos IPs. Normalmente oprovedor não é porque ele recebe os IPs emprestados.

Assim o funcionamento é o seguinte. O provedor configura o DNS no mesmoesquema como fosse um domínio. Documentação com detalhes técnicos estão nonosso site. A diferença é de que o DNS resolve o nome em IP. O DNS reverso faz oinvertido, resolve o IP em nome.

Uma vez configurado corretamente o DNS reverso o provedor precisa buscar otécnico da TELE e pedir de que ele referencia os servidores DNS do provedor comoservidores de DNS Reverso pelas classes de IPs funcionando no provedor.

Este procedimento normalmente demora de 2 a 3 dias para que esteja completado.Enquanto não está feito a rede fica com falta de desempenho e problemas de e-mailou de acesso a certos recursos da Internet.

Para saber se o DNS responde corretamente basta executar um comando nslookup(não existente em Windows menor a XP) da seguinte forma:

---nslookup info.matik.com.brServer: dns.matik.com.brAddress: 200.152.83.8

Name: info.matik.com.brAddress: 200.152.83.11---nslookup 200.152.83.11Server: dns.matik.com.brAddress: 200.152.83.8

Name: wsrv.matik.com.brAddress: 200.152.83.11---

e caso obtemos respostas corretas o DNS está ok. para ter certeza é útil de executar oteste tanto da rede local quanto a partir de um IP fora da nossa rede. A FAPESP eoutros servidores disponibilizam uma ferramenta WEB para poder realizar estestestes.