Inscribe tu dominio: .cl
Inicio
Configuración recomendada para resolvers de ISPs, NIC Chile

Introducción

En general, los ISPs proveen dos servicios de DNS diferentes a sus clientes:

  • un servicio de resolver para los clientes conmutados y
  • un servicio de nombres primario y secundario para aquellos que quieren tener un dominio propio.

Es frecuente que los ISPs corran estos dos servicios en la misma máquina y en el mismo servidor DNS, el cual es configurado como resolver y como primario de algunos dominios. Esto es incorrecto y genera a la larga problemas de resolución de nombres que provocan serios transtornos a los usuarios.

El escenario típico de error es el siguiente:

  1. Un ISP provee servicio de resolver en la máquina dns.isp.cl, cuya dirección IP se configura como servidor de DNS en todos sus clientes de acceso conmutado.
  2. Un cliente contrata con él un hosting para su dominio ejemplo.cl.
  3. El cliente inscribe su dominio en el NIC con dns.isp.cl como servidor primario.
  4. El ISP modifica la configuración de dns.isp.cl para que actúe como primario para ejemplo.cl.
  5. Todo funciona bien durante un tiempo...
  6. El cliente decide cambiarse de ISP, y contrata hosting y DNS primario con dns.otro-isp.cl. Se modifica correctamente la configuración de ejemplo.cl en el NIC y la configuración del nuevo ISP.
  7. Todo el mundo ve bien la nueva ubicación de ejemplo.cl, excepto los clientes conmutados del primer ISP.

Lo que sucede es que estos últimos aún ven la información obsoleta que aún existe en dns.isp.cl, el cual aún cree ser el primario para ejemplo.cl.

Una solución para este problema sería que, al irse un cliente, el ISP de inmediato lo eliminara de su zona, pero la experiencia muestra que esto no siempre se hace oportunamente y, a veces, no se hace nunca.

Recomendación de configuración correcta

Un servidor provisto como resolver para uso público no debe al mismo tiempo servir como primario ni secundario para ningún dominio.

Para cumplir con esta recomendación, lo más fácil es tener dos máquinas separadas:

  1. resolver.isp.cl, para uso de los clientes conmutados (y, en general, de todos quienes necesiten resolución de nombres); esta máquina sólo necesita mantener al día la lista de servidores raíz y estar configurada para responder consultas recursivas
  2. dns.isp.cl, para servicio primario y secundario de clientes; esta máquina está configurada para no responder preguntas recursivas, es decir, no acepta actuar como resolver.

Si no es fácil contar con dos máquinas separadas, se pueden correr ambos servicios en la misma máquina usando dos direcciones IP diferentes (el port debe ser el mismo del DNS estándar), asignando una dirección explícitamente a una versión del servidor (resolver o primario).

Transición

Para migrar a la configuración recomendada, lo más simple darle al resolver una nueva dirección IP, porque si los clientes conmutados obtienen su configuración dinámicamente al conectarse (con DHCP) obtendrán automáticamente la dirección correcta. Para permitir la transición de aquellos clientes que tengan configurado el servidor de DNS estáticamente, se debería mantener al antiguo servidor resolviendo consultas recursivas durante un tiempo, anunciando que esta funcionalidad será eliminada a partir de una fecha dada.

Por lo tanto la secuencia en el tiempo es:

  1. Habilitar un nuevo resolver en una nueva dirección IP
  2. Cambiar la configuración de los clientes, para que usen de resolver ese nuevo servidor
  3. Desactivar las respuestas recursivas en el viejo servidor, que ahora sólo mantendrá los primarios y secundarios.

La recomendación anterior es una buena política incluso para empresas que dan servicio de DNS primario o secundario a sus propios dominios, porque facilita la administración. Si embargo, bajo condiciones controladas, ellas pueden mezclar las dos funcionalidades en un mismo servidor, porque pueden responsabilizarse de que todos los cambios se hagan y porque, en último término, cualquier falla de resolución de nombres sólo los afecta a ellos y no a terceros.

Por otra parte, debemos enfatizar que para los ISPs que proveen servicio de resolución de nombres a los consumidores, es muy recomendable adoptar la política aquí descrita, porque de lo contrario se arriesgan a que su resolver esté entregando información distinta de la de todos los otros resolvers del mundo, lo cual significaría en la práctica estar comercializando un servicio defectuoso.

 

NIC Chile
Santiago, 18 de diciembre de 2000.

Clientes Registrados
Si ya posee cuenta en el nuevo sistema:

Crearse una cuenta nueva - Olvido de contraseña.