DNS - Como funciona? Master, Slave, Prim, Sec e Reverso?

Original: matik.com.br
Enviado por: admin em Sexta, 09 de Setembro de 2005 - 07:48:33 (Brasília)

DNS é ainda a causa das mais belas confusões e pior que também a causa de diversos
problemas básicos no provedor de Internet. O DNS é provavelmente o mais
importante serviço que define se o serviço do provedor é bom ou ruim. Antes de
configurar o DNS precisa entender como que ele funciona, caso contrário sem chance
de que isso jamais funcione legal. Veja aqui como ...

Inicialmente precisamos entender de que devemos de separar dois aspectos. O DNS

serve de um lado para os nossos usuários na rede local, discado ou wireless e de outro
lado existe o mundo lá fora.

O DNS serve para os nossos usuários para que possam digitar o nome do servidor ou
da URL e o DNS traduz para o número IP. Ficaria complicado se todo mundo precisa
lembrar do número IP do servidor, ceto? Fica muito mais fácil de digitar
info.matik.com.br.

O DNS serve para os servidores e outros usuários fora da nossa rede para poder
encontrar o nosso servidor WEB ou saber quem somos através do DNS reverso.

Especialmente o DNS reverso é muito esquecido mas ele é um fator muito importante
para o desempenho geral da nossa rede.

Caso estamos administrando apenas uma rede local sem Internet a questão DNS não é
muito complicado porque podemos fazer o que queremos sem precisar de seguir as
normas que estão valendo na Internet. Assim que conectamos esta rede porém na
Internet a coisa complica. Entra na jogada por exemplo a FAPESP exigindo um
MASTER e um SLAVE e na questão do DNS Reverso entra na jogada a
Teleoperadora que fornece os IPs. Agora a confusão está feita.

A confusão normalmente começa pelo Bug Brasileiro (ninguém lê manuais). Fuçando

descobrimos fácilmente se o parafuso solta virando para direita ou esquerda mas
questões mais complicadas sem manual resultam normalmente em falhas ou danos.

A FAPESP publica um excelente documento sobre o procedimento de cadastro de

domínios. A Embratel publica também um excelente docuemnto de como configurar
o DNS reverso e lógico no nosso site temos bastante documentos sobre a questão
técnica, é só pesquisar "DNS reverso named.conf" na busca na coluna da direita. Mas
vamos voltar ao "como funciona".

Conforme as normas Internet precisamos hoje dois servidores DNS. Isto porque um
pode estar ocupado ou em manutenção e enquanto isso responde o outro. Aqui
chegamos ao primeiro ponto. Apesar de que os dois servidores DNS depende um do
outro ( slave (escravo) depende do master (mestre)) cada um deles consegue
responder sem a existência do outro. Você pode tranqüilamente desligar um dois dois
e o outro responde normalmente.

A relação master slave é simples. Basta que editamos a configuracão dos domínios no
master e indicamos no slave quem é o master daquele domínio. A partir de agora
apenas editamos eventuais alterações no master e o slave automaticamente atualiza-se
puxando a nova versão do master.

Este processo entre master e slave tem nada ver com a FAPES ou com qualquer outro
assunto. É apenas uma configuração feita local pelo administrador do sistema. Sempre
existe somente um master mas podem existir diversos slaves.

Aparentemente os técnicos ficam confundidos porque estão sendo influenciados pelo

termo DNS primário e secundário nas propriedades da rede do Windows. Só que isto
é apenas uma ordem de pesquisa, ou seja, indica para o Windows apenas qual DNS
deve ser solicitado primeiro e caso este não responde qual o segundo. Sabendo então
essa parte agora podemos já concluir que tanto faz se configuro no Windows como
primário o MASTER ou o SLAVE porque cada um deles responde por ele mesmo.
Obviamente configuro como primário o DNS mais próximo, por exemplo aquele que
está na minha subrede e não aquele da outra subrede.

Resumindo. A configuração DNS do cliente é apenas uma ordem de pesquisa e que

posso configurar qualquer DNS como primário o secundário enquanto ele responde.
Pode até ser um servidor DNS na China. A questão é o tempo de resposta. Assim
beneficio se configuro como primário o DNS que mais rápido responde.

E assim na FAPESP o assunto é exatamente igual. A FAPESP na hora de cadstrar um

domínio exige a indicação de um MASTER e um SLAVE pelo motivo de que um
deles pode estar fora e assim o outro responde. Mas também os servidores DNS da
FAPESP apenas são clientes e assim tanto faz se configuro na FAPESP como master
o MEU master ou o MEU slave. Isso porque o MEY master e slave, cada um deles é
capaz de responder por ele mesmo independente do outro.

Fica apenas por responsabilidade do administrador de que o MASTER e SLAVE dele

funcionam entre eles com a atualização automática.

Dica: Uma boa prática e medida de segurança contra eventuais riscos de ataque ou
contra hacker é o seguinte. Manter um servidor DNS Master na minha rede com IP
inacessível pela Internet. Configurar dois Slaves atualizando-se a partir do meu
Master e que estes dois salves do meu Master com IP público. Agora uso estes dois
slaves para serem o Master e o Slave na Fapesp e também o primário e Secundário
para meus clientes. Nesta configuração posso ficar bastante tranqüilo contra tentativas
de ataque DNS, até os mais sofisticados porque no pior caso eles conseguem
influenciar meus salves até a próxima alteração automática quando consultem meu
master novamente.

Agora o DNS reverso é muito importante, ele ainda é mais importante porque as
falhas dele não causam inacessibilidade. As falhas com o DNS reverso ficam
escondidos e um inexperiente administrador nem percebe. Ele apenas acredita de que
tem problemas na rede causando lentidão.

Devido a facilidade de poder "falsificar" o IP os servidores, especialmente os

servidores de E-mail, consultem o DNS reverso para saber se o IP realmente existe.
Caso não existe o reverso o servidor pode rejeitar o acesso ou hoje, com a quantidade
de SPAM ele nem comunica mais, apenas descarta a mensagem de e-mail. Inclusive
quando não rejeita, este servidor executa várias tentativas de consultar o IP reverso e
assim tem um tempo perdido até que o acesso realmente acontece. Este tempo para o
usuário resulta em lentidão. Sobretudo cada consulta causa um trafego extra na rede.

O segredo com o DNS reverso e porque ele é "deixado para lá" é de que o provedor
PRECISA da ajuda da teleoperadora que fornece os IPs para ele. Confirme
regulamentos o responsável pelo DNS reverso é o dono dos IPs. Normalmente o
provedor não é porque ele recebe os IPs emprestados.

Assim o funcionamento é o seguinte. O provedor configura o DNS no mesmo

esquema como fosse um domínio. Documentação com detalhes técnicos estão no
nosso site. A diferença é de que o DNS resolve o nome em IP. O DNS reverso faz o
invertido, resolve o IP em nome.

Uma vez configurado corretamente o DNS reverso o provedor precisa buscar o

técnico da TELE e pedir de que ele referencia os servidores DNS do provedor como
servidores de DNS Reverso pelas classes de IPs funcionando no provedor.

Este procedimento normalmente demora de 2 a 3 dias para que esteja completado.

Enquanto não está feito a rede fica com falta de desempenho e problemas de e-mail
ou de acesso a certos recursos da Internet.

Para saber se o DNS responde corretamente basta executar um comando nslookup

(não existente em Windows menor a XP) da seguinte forma:

---
nslookup info.matik.com.br
Server: dns.matik.com.br
Address: 200.152.83.8

Name: info.matik.com.br
Address: 200.152.83.11
---
nslookup 200.152.83.11
Server: dns.matik.com.br
Address: 200.152.83.8

Name: wsrv.matik.com.br
Address: 200.152.83.11
---

e caso obtemos respostas corretas o DNS está ok. para ter certeza é útil de executar o
teste tanto da rede local quanto a partir de um IP fora da nossa rede. A FAPESP e
outros servidores disponibilizam uma ferramenta WEB para poder realizar estes
testes.