[DNS]Google en forwarders

Is het niet gewoon zo dat de cache van die server lange tijd niet gelegd was, en ondertussen een aantal IP-adressen van site's veranderd waren?

Althans, dat zie ik nog wel eens gebeuren.

Hoe lang de records van een domeinnaam in de cache van een DNS server blijven staan, is afhankelijk van de TTL van die domeinnaam. Als de TTL bereikt is, wordt het record opnieuw opgevraagd en gecached. Veelal zie je TTL's van 1 dag, maar ik kom ook steeds vaker TTL's van 1 uur voorbij komen. Dat beetekent dus dat records van die domeinnaam in de cache van mijn DNS server nooit ouder dan een uur zijn.

Om wijziging in de DNS zone snel zichtbaar te hebben voor iedereen, wordt vaak ook de TTL ruim voordat de wijziging plaatsvindt, verlaagd naar 5 minuten. Op deze manier is de wijziging binnen vijf minuten overal zichtbaar.

Persoonlijk zou ik ook niet snel een forwarder instellen naar een publieke DNS server van bijv. Google. Ik zie er het voordeel niet van in...

TTL is max. 24 uur, die wordt inderdaad niet meer zo vaak gehanteerd

Maar wat zijn naast Google en openDNS veel gebruikte forwarders? Zou zeggen dat die 2 (op de root servers na) de meest gebruikte zijn.

Waarom ga je als bedrijf überhaupt gebruik maken van public DNS? Dan ben je toch ook wel een beetje gek in je hoofd. Leuk als je thuis met je hobby aan het spelen bent, maar voor een bedrijf?

Over het algemeen hebben ISP's DNS servers, en heb je wel een SLA waar in staat wat je kan verwachten. Als dat dan niet goed genoeg is heb je nog wel tig andere DNS diensten die af te nemen zijn, plus om dat je waarschijnlijk al wel ergens een paar DNS zones hebt lopen krijg je eigenlijk altijd wel gratis toegang tot de resolver/recursor van de partij die je zones host, die over het algemeen ook nog net weer een tikje betrouwbaarder is dan wat je van een ISP kan verwachten.

Verder kan je natuurlijk ook zelf PowerDNS of BIND met een eigen cache en directe lookups gebruiken.

Er is gewoon totaal geen reden om Google DNS gebruiken, de enige reden dat je dat nog zou zien is als je een makkelijk te onthouden IP nodig hebt en je die van Level 3 niet vertrouwt.

Vaak heb je trouwens ook dat slechte DNS configuratie haast uitsluitend op Windows netwerken voorkomt om dat AD voor de meeste MS-mannen alle DNS services claimt en bij gebrek aan kennis maar als oplossing gezien wordt (terwijl MS's DNS server niet bepaald om van naar huis te schrijven is).

Zelfs voor de meest kleine MKB setupjes is een lokale Unbound server nog de moeite waard, geen full fledged autorative DNS server, maar toch stukken beter dan de rommel die je anders door je strot geduwd krijgt. Plemp het gewoon bij je andere gateway services in het deployment profiel en gaan.

johnkeates schreef op zondag 01 maart 2015 @ 05:29:
[...] Dan ben je toch ook wel een beetje gek in je hoofd. [...]

Goedemorgen, zeg. Kun je even normaal doen?

Room42 schreef op zondag 01 maart 2015 @ 05:37:
[...]

Goedemorgen, zeg. Kun je even normaal doen?

Wat is daar niet normaal aan? Je bent netops, netsec of misschien sysops aan het doen, je hebt je eisen op een rijtje gezet, je weet waar je je voor moet verantwoorden met je setup en je weet wat je opties zijn. Dan heb je dus een plaatje in je hoofd van wat je moet gaan neerzetten. Als je dan Google Public DNS gebruikt, dan klopt er toch wat niet? Dan zit er toch een flinke kink in je gedachtengang in je hoofd?

johnkeates schreef op zondag 01 maart 2015 @ 05:53:
[...]

Dan zit er toch een flinke kink in je gedachtengang in je hoofd?

Hoezo moet het perse een kink oid zijn? Bestaat onwetendheid niet gewoon ook bij veel beheerders?
Ik kom helaas ook te vaak de Google DNS tegen bij klanten ; meestal blijkt dat erin gezet te zijn zonder dat men eigenlijk weet waarom dit slecht is (8.8.8.8 en 8.8.4.4 zijn gewoon makkelijk te onthouden)
Ik ben er fel op tegen om de google DNS te gebruiken omdat de core business van Google gegevens verzamelen en verhandelen is ; het gaat Google geen zak aan welke (externe) DNS namen geresolved worden vanaf het netwerk van een bedrijf.

Killah_Priest schreef op zondag 01 maart 2015 @ 09:31:
[...]
Hoezo moet het perse een kink oid zijn? Bestaat onwetendheid niet gewoon ook bij veel beheerders?

Sorry hoor, maar als je als professional 'onwetend' ergens bij een bedrijf aan het werk bent is er sowieso al wat mis Iemand kan zichzelf uiteraard altijd 'beheerder' noemen, maar dat is niet het type beheerder waar ik het over heb; ik bedoel mensen die daadwerkelijk een traject doorlopen hebben om beheerder te worden, zoals een opleiding, een certificering, een stage, doorgegroeid binnen een bedrijf onder een mentor enz. Noem het maar op.

Sjaak van om de hoek die bij de bakker even z'n router instelt is in die zin dus niet een beheerder

1)
Forwarders gebruik je als je een bepaald klein subsegment van DNS wilt voorzien en met die machine verder niet naar internet kunt.
Je maakt een soort default gateway voor de DNS. Als de machine het zelf niet meer weet stuur het dan daar maar heen.

2)
Deze naar google zetten is waarschijnlijk met het idee dat google altijd wel up is. Dit is dus een keuze. Als je het dan doet zet er dan op zijn minst forwarders in naar diverse aanbieders en niet naar 1.

3)
DNS laten doen zoals hoort is inderdaad misschien een betere manier. Als je google gaat vragen dan zullen zij ook weer via de root DNS servers het adres resolven als het niet in de cache zit. Het is dus trager om het via een forwarder te doen als het aldaar niet in de cache zit.

johnkeates schreef op zondag 01 maart 2015 @ 14:07:
[...]

Sorry hoor, maar als je als professional 'onwetend' ergens bij een bedrijf aan het werk bent is er sowieso al wat mis Iemand kan zichzelf uiteraard altijd 'beheerder' noemen, maar dat is niet het type beheerder waar ik het over heb; ik bedoel mensen die daadwerkelijk een traject doorlopen hebben om beheerder te worden, zoals een opleiding, een certificering, een stage, doorgegroeid binnen een bedrijf onder een mentor enz. Noem het maar op.

Je wilt niet weten hoeveel incompetente mensen dat traject succesvol hebben doorlopen en toch geen ene zak weten wat ze nou doen. Ontwikkelaars die mooie certificaten hebben voor verschillende programmeertalen, maar niet eens hun code kunnen debuggen of logs kunnen lezen. Om maar een voorbeeld te noemen.

Ga dus nou niet iedereen die ergens 8.8.8.8 instelt voor DNS gestoord noemen. Beledigingen uit je maar ergens anders, niet hier. Iedereen moet het ooit eens leren en GoT is een prima plek om te vragen hoe 't zou moeten.

johnkeates schreef op zondag 01 maart 2015 @ 05:29:

Jij blaast wel heel erg van de toren. Wat is er mis met de Windows DNS server?

En wij gebruiken ook de DNS servers van Google. Heb eigenlijk nog nooit meegemaakt dat deze plat lag. Waarom een forwader? Simpel: dat werkt sneller want die servers hebben 9 van de 10 keer direct antwoord. Bij een MKB bedrijf zijn je DNS servers anders aan de lopende band root servers aan het lastig vallen (en dat is nou net niet de bedoeling).

Ik lees in de TS eigenlijk geen reden waarom het gebruik van een forwader hier de oorzaak was. Bij een correct ingestelde DNS server (omgeving) zou er namelijk geen enkel verschil moeten zijn tussen een forwarder of het gebruik van de root hints.

Sorry maar dit topic staat bol van de flauwekul. Het énige valide argument tegen Google DNS is het privacy punt Wat de afhankelijkheid betreft: je kan ook gewoon forwarders instellen naar meerdere partijen: bijv de ISP én Google.

[ Voor 6% gewijzigd door Glashelder op 01-03-2015 15:10 ]

Er zijn helaas nog wat DNS-caches/resolvers die zich niet aan de TTL houden en records langer bewaren. Als je internet heel onbetrouwbaar is kan dat handig zijn maar tegenwoordig is dat eigenlijk niet meer nodig, zeker niet in Nederland. Helaas blijft oude apparatuur nog jarenlang rondslingeren omdat het niet overduidelijk stuk is, net als oude gewoontes overigens.

johnkeates schreef op zondag 01 maart 2015 @ 05:53:
[...]


Wat is daar niet normaal aan? Je bent netops, netsec of misschien sysops aan het doen, je hebt je eisen op een rijtje gezet, je weet waar je je voor moet verantwoorden met je setup en je weet wat je opties zijn. Dan heb je dus een plaatje in je hoofd van wat je moet gaan neerzetten. Als je dan Google Public DNS gebruikt, dan klopt er toch wat niet? Dan zit er toch een flinke kink in je gedachtengang in je hoofd?

Je loopt mensen welke Google DNS fowarders instellen compleet af te branden en geeft aan dat zei kennis gebrek hebben of zelfs een kink hebben in hun hoofd. Echter geef je 0 inhoudelijke argumenten. Wat zijn redenen om Google DNS niet te gebruiken?

Ik lees in deze thread dat ISP DNS servers gebonden zijn aan een SLA. Ik ken contracten niet uit mijn hoofd, maar ik heb dit nog nooit in een SLA gevonden. Vaak worden DNS servers van de ISP als extra dienst aangeboden, maar ik heb mijn vraagtekens of er contractuele uptime aan deze service zit. (Misschien is dit zo, maar ik heb het nog niet gezien).

Wat ik wel weet is dat bij sommige ISP's de reactie tijd van de DNS forwarders traag zijn vergeleken met de Google DNS servers. Daarbij zijn er nog steeds ISP's welke geen DNSSEC hebben geïmplementeerd. Iets wat bij Google DNS wel het geval is.

Ik denk dat in veel gevallen het een goede keus is om de DNS servers van de ISP te gebruiken. Echter zijn er ook ISP's waarbij ik de Google DNS servers (of Open DNS servers, of andere 3th party DNS servers) zou prefereren. Volgens jouw theorie heb ik dus een kink in mijn gedachtengang, maar geef eens argumenten waarom, zonder te trollen.

In plaats van los op iedereen te reageren, een samenvatting:

- Ja ik blaas hoog van de toren, om dat ik toevallig net bij twee bedrijven vandaan kwam die allebei Public DNS gebruikten bij mission-critical applicaties, waarbij in de requirements duidelijk was aangegeven dat er geen data gelekt mocht worden, en waarbij er een eis van een minimale SLA gebonden was aan de projecten, en er een of andere knul die via via bij beide bedrijven de boel wel even zou opzetten zich aan geen enkele spec gehouden heeft. Het was eigenlijk vooral een catharsische rant, mijn excuses.

- Harde redenen waarom Google Public DNS specifiek niet te gebruiken:
• Als je simpelweg gratis snelle DNS wil is UltraDNS of Cegetel bijna altijd sneller
• Geen SLA (kan verplicht zijn) https://developers.google.com/speed/public-dns/faq#sla
• Privacy; er staat op de FAQ dat er niks 'onthouden' wordt, in de legal docs staat dat ze het wel doen
• Als je simpelweg makkelijk te onthouden betrouwbare DNS wil is Level 3 de betere keuze, downtime sinds 2001: 5 minuten in totaal. Plus, als er bij Level 3 iets mis gaat kan je er van uit gaan dat je wel grotere problemen hebt dan DNS; waarschijnlijk gaat 90% van de trans-atlantische link gewoon plat als L3 in de problemen zit.

- SLA van ISP: ik heb het niet over je huis-tuin-keuken abbo's bij je lokale ADSL of Kabel providers, we hebben het hier over B2B netwerk providers. Als je bijvoorbeeld naar Cyso kijkt zit overal gewoon een degelijke SLA op. KPN Wholesale kan er ook wat van. Natuurlijk ga je geen SLA krijgen bij een of andere setup die je thuis hebt staan of in de kroeg, maar dat is natuurlijk niet wat we met zakelijke klanten bedoelen he Nu zijn SLA's natuurlijk rommel als je gewoon goede service wil, maar SLA's zijn in het bedrijfsleven nou eenmaal een eis. Een service zonder SLA kan je al bijna niet meer afnemen om dat het niet 'mag' van de personen die de eisen moeten goedkeuren.

- Met ISP bedoel ik natuurlijk niet exclusief een provider voor internet verbindingen, maar internet services in het algemeen, dat is immers waar het voor staat. We kunnen ook DSP, HSP, of een andere afkorting gebruiken om specifieke services op internet die door een provider beschikbaar gesteld wordt aanduiden, maar dat maakt het nogal onoverzichtelijk.

- Met SLA bedoel ik niet dat je gratis een SLA krijgt bij een of ander abbo'tje, maar dat je een SLA vereist en dus een service afneemt waar je een SLA voor kan krijgen.

Stel dat je bij een ISP zit waarbij je gewoon een consumenten verbinding afneemt, dan kan je er inderdaad wel van uit gaan dat DNS geen gegarandeerde service is, niet al te best zal performen, en eigenlijk in alle gevallen beter vervangen kan worden door een andere DNS service. Maar dat lijkt me weinig te maken hebben met setups bij zakelijke klanten, en gezien dat toevallig net is waar dit topic mee begon is dat een beetje richting off-topic.

Over DNS in het algemeen:

Stel dat je gewoon snelle DNS wil in een situatie waar het niet uit maakt waar het vandaan komt, draai dan DNSBench, en kijk welke server je de beste performance geeft. Dat is in veel gevallen niet Google DNS, vaak staat die op de 2e plek of de 3e plek. Als je DNS services gebruikt die niet van de provider zijn heb je natuurlijk wel dat je even moet controleren of ze qua GeoDNS kloppen. Het is natuurlijk vervelend als opeens alle akamai sessies via de VS lopen.

Als je custom services hebt in je netwerk, dan is het net zo makkelijk om een caching server te gebruiken, en als je netwerk groot genoeg is kan je meteen een caching recursor gebruiken gezien dat dan altijd sneller is dan een externe DNS service. Dat geldt natuurlijk ook voor DNSSEC support, maar dat is ook weer een geval van de juiste dekking van je requirements hebben. Als je DNSSEC vereist ga je natuurlijk een service afnemen die dat heeft, en niet een contract accepteren waarbij je maar mag hopen dat DNSSEC er in zit.

Waarom je geen Microsoft DNS server gebruikt:

- Geen split horizon. Valt dus in 99% van de setups waar je een DNS server nodig hebt al buiten de boot.

- Werkt niet goed samen met andere DNS servers, dus geen koppelingen met je UTM om maar wat te noemen. Komt door een hele beperkte set aan geïmplementeerde RFC's. Ja het werkt, maar dus niet met de rest van de wereld. Desalniettemin wordt dat weer opgelost door in bijv. BIND en PDNS compatibility hacks toe te passen zodat MSDNS wel werkt.

- Slechte ACL support
- Beperkte backend schaling (schaalt mee met hardware, en that's it), alleen te schalen met slaves
- Beperkte signing tooling, ondersteunt alleen GSS-TSIG i.c.m. AD
- Integreert niet met de rest van je netwerk, behalve als je Windows als router, NAT en DHCP box gebruikt

Ik kan nog wel even door gaan, maar het is zo al een heel verhaal. Eerst maar even wat reacties hier op bekijken.

En toch ga ik hier nog even specifiek op in:

Hero of Time schreef op zondag 01 maart 2015 @ 15:07:
[...]

Je wilt niet weten hoeveel incompetente mensen dat traject succesvol hebben doorlopen en toch geen ene zak weten wat ze nou doen. Ontwikkelaars die mooie certificaten hebben voor verschillende programmeertalen, maar niet eens hun code kunnen debuggen of logs kunnen lezen. Om maar een voorbeeld te noemen.

Ik heb het niet voor niets over professionals. Mensen die weten wat ze doen. Dus niet mensen die een of ander traject doorlopen hebben zonder te weten wat ze doen. Auto-didact zijn en alles goed kunnen doen en dan in een bedrijf aan de slag gaan en doorgroeien naar een netops positie telt dan ook net zo goed als jezelf op een professioneel niveau brengen. Uiteraard zeggen diploma's en certificaten niet alles, net als dat wat er op je business card staat weinig betekent zonder een portfolio met bewijs of je feitelijke kennis van zaken.

Ik noem ter illustratie ongeschoolde hobbyisten die zichzelf beheerder noemen om dat het juist daar vaak is waar het mis gaat. Om dat makkelijk te scheiden van mensen die wel op de plek zitten waar ze moeten zitten gebruik ik scholing in het algemeen, wat natuurlijk niet betekent dat scholing de eindoplossing voor alles is. Ik hoop dat dat zo duidelijker is.

Hero of Time schreef op zondag 01 maart 2015 @ 15:07:
[...]
Ga dus nou niet iedereen die ergens 8.8.8.8 instelt voor DNS gestoord noemen.

Pardon? Probeer je nu serieus mijn bewoording synoniem te stellen aan 'gestoord'?

Volgens mij heb ik twee heel normale aanwijzingen naar falende logica gegeven voor mensen die in situaties waarbij public dns geen wenselijk product is toch even dat makkelijke IP'tje inkloppen.

De woorden die ik gebruikte waren dan ook:

Dan ben je toch ook wel een beetje gek in je hoofd.

Gek is volgens mij nog steeds "van het verstand beroofd", wat precies is wat ik bedoel. Als je in een situatie zit waarbij je op een zakelijk netwerk al je clients rechtstreeks aan een dns server knoopt die daar helemaal niet thuis hoort, dan lijkt me dat niet iets wat je met je verstand gedaan hebt. Let wel: dit gaat over professionele inrichtingen, daarom mijn opvolgende zin:

Leuk als je thuis met je hobby aan het spelen bent, maar voor een bedrijf?

En met bedrijf bedoel ik dus niet elke persoon die toevallig een KvK nummer gescoord heeft, maar een bedrijf waar je tenminste 50 clients hebt die DNS willen resolven en IT een kritiek onderdeel is van de bedrijfsvoering. Het maakt natuurlijk geen drol uit als als je in de kroeg even niet kan pinnen en de muziek streams even niet werken, genoeg offline muziek en contant geld beschikbaar.

Hero of Time schreef op zondag 01 maart 2015 @ 15:07:
[...]
Beledigingen uit je maar ergens anders, niet hier. Iedereen moet het ooit eens leren en GoT is een prima plek om te vragen hoe 't zou moeten.

Ik weet niet precies waar je hier op doelt. Ik heb mijn onvrede over de verkeerde mensen die op de verkeerde plek zitten geuit, dat lijkt me niet zozeer een belediging maar een constatering, of dacht je dat ik iemand in dit draadje aan het aanvallen was?

Daarnaast heeft dit hele draadje niks met iemand op GoT die iets wil leren te maken, maar met de observatie van Wim-Bart die zag dat mensen alle DNS lieten afhangen van 1 DNS service, en daarnaast caching op caching stapelde wat vrij onlogisch is. Dat is toevallig ook waar mijn andere opmerking goed bij samen gaat:

Dan zit er toch een flinke kink in je gedachtengang in je hoofd?

Als je dus aan het begin denkt: laat ik caching DNS opzetten.
Daarna denkt: laat ik andere nameservers instellen.
Daarna denkt: laat ik twee nameservers, niet meer en niet minder instellen, allebei van dezelfde provider, en allebei ook caching DNS servers, net als mijn eigen server, zodat het geen zin heeft en eigenlijk alle nieuwe lookups langzamer gaan.

dan gaat er toch wat mis? Dan heb je toch geen rechte logische gedachtengang, maar ergens een flinke misstap gemaakt?

[ Voor 30% gewijzigd door johnkeates op 01-03-2015 16:59 ]

Heel leuk zo'n lang (en uitgebreid) bericht maar tenzij je bij een grote multinational werkt is het allemaal overbodig. Een gemiddeld bedrijf heeft helemaal geen DNS nodig met split-horizon support. Net zoals een SLA op DNS (lol, waarom een SLA op een service als DNS terwijl je jezelf als bedrijf veel makkelijker kan indekken door gewoon meer bronnen te gebruiken ).

Wat mij betreft heb je een kronkel in je hoofd als je bij een MKB klant een extra server met BIND of PowerDNS gaat uitrusten. Alleen maar extra systemen (met dito onderhoud) terwijl er bij MKB klanten niets mis is met MSDNS (de nadelen die jij opneemt die spelen daar niet).

Dit topic staat niet in PNS..de zaken die jij opnoemt gaan veel te ver voor hier en zijn voor het merendeel van de bedrijven helemaal geen probleem, bezwaar of gemis.

Glashelder schreef op zondag 01 maart 2015 @ 15:08:
En wij gebruiken ook de DNS servers van Google. Heb eigenlijk nog nooit meegemaakt dat deze plat lag. Waarom een forwader? Simpel: dat werkt sneller want die servers hebben 9 van de 10 keer direct antwoord. Bij een MKB bedrijf zijn je DNS servers anders aan de lopende band root servers aan het lastig vallen (en dat is nou net niet de bedoeling).

Sorry maar dit topic staat bol van de flauwekul. Het énige valide argument tegen Google DNS is het privacy punt Wat de afhankelijkheid betreft: je kan ook gewoon forwarders instellen naar meerdere partijen: bijv de ISP én Google.

De DNS van Google is snel en de downtime is vrij laag, maar de betrouwbaarheid laat weleens te wensen over. Soms komt er gewoon een compeet verkeerd antwoord uit, terwijl andere DNS servers daar geen moeite mee hebben.

Trommelrem in "Office 365 erg traag op Terminal server"

Inmiddels is het ticket van bovenstaande topic afgehandeld en verwijst Google nu wel naar de juiste Exchange servers, maar er zijn nog steeds problemen met andere Office 365 diensten die er alleen zijn als je de Google DNS gebruikt.

Behalve Office 365 heb ik ook genoeg problemen gezien met andere diensten, maar gek genoeg nog geen problemen met de Google Apps diensten zelf. Die problemen zijn er niet als je bijvoorbeeld OpenDNS of weetikveel wat voor gratis of betaalde dienst gebruikt.

[ Voor 3% gewijzigd door Trommelrem op 01-03-2015 17:40 ]

Dat is zeker interessant en daar was ik tot nu toe niet van op de hoogte. Vooralsnog gebruiken wij echter nog geen Office 365 maar dit is er zeker één die in mijn achterhoofd zal blijven hangen

Ik zie het al, Johnkeates is een pro en wij zijn een stelletje amateurs.
btw : de klanten waar ik dit tegenkom zijn mkb klanten, Google DNS ingesteld hebben is vaak wel 1 van de minder ergere zaken welke ik meestal tegenkom.

Jij bent zo te lezen nogal overspannen aangezien jij je veels te druk maakt over dit en mensen gek noemt : is het JOUW probleem dat mensen dit bij mkbers instellen?

Ik snap de ophef ook niet helemaal, de meeste MKB's hebben voldoende aan de forwarder naar Google of OpenDNS. Meeste uptime en behoorlijk betrouwbaar.

Afgelopen jaren wel vaker gehad dat ISP's (cbizz, kpn, tele2, routit) ineens DNS verzoeken weigeren van eigen klanten. DNS van KPN is over het algemeen om te huilen.

Glashelder schreef op zondag 01 maart 2015 @ 17:25:
Heel leuk zo'n lang (en uitgebreid) bericht maar tenzij je bij een grote multinational werkt is het allemaal overbodig. Een gemiddeld bedrijf heeft helemaal geen DNS nodig met split-horizon support. Net zoals een SLA op DNS (lol, waarom een SLA op een service als DNS terwijl je jezelf als bedrijf veel makkelijker kan indekken door gewoon meer bronnen te gebruiken ).

Wat mij betreft heb je een kronkel in je hoofd als je bij een MKB klant een extra server met BIND of PowerDNS gaat uitrusten. Alleen maar extra systemen (met dito onderhoud) terwijl er bij MKB klanten niets mis is met MSDNS (de nadelen die jij opneemt die spelen daar niet).

Dit topic staat niet in PNS..de zaken die jij opnoemt gaan veel te ver voor hier en zijn voor het merendeel van de bedrijven helemaal geen probleem, bezwaar of gemis.

Dit is dan ook niet iets wat je voor een MKB doet, daar kan je met een simpele oplossing zoals dnsmasq en consorten in de router van de ISP die er standaard bij zit. Vandaar ook mijn post dat het voor een MKB natuurlijk geen zak verschil maakt en als je luxe wil doen misschien een ding als unbound zou draaien (johnkeates in "[DNS]Google en forwarders")

Ik weet niet precies waarom je eerst om een antwoord vraagt en dan op het antwoord reageert in de trant van "leuk voor je, maar ik wil eigenlijk gewoon vertellen dat ik hoe dan ook iets slechts van je verhaal wil maken". Als er een reactie uitgelokt wordt moet je er niet van staan te kijken als ie ook daadwerkelijk komt.

Verder heeft het natuurlijk geen in om iets anders als MSDNS te draaien als je niks anders dan MSDNS nodig hebt, lijkt me vrij logisch. Daarom ook een lijstje van de redenen waarom je MSDNS niet zou draaien. Als je specs daar niet mee over een komen is er dus geen reden geen MSDNS te draaien. Waarom je dat dat weer extra wil noemen vraag ik me ook af. Probeer je er een soort van persoonlijke aanval van te maken?

Killah_Priest schreef op zondag 01 maart 2015 @ 18:17:
Ik zie het al, Johnkeates is een pro en wij zijn een stelletje amateurs.
btw : de klanten waar ik dit tegenkom zijn mkb klanten, Google DNS ingesteld hebben is vaak wel 1 van de minder ergere zaken welke ik meestal tegenkom.

Jij bent zo te lezen nogal overspannen aangezien jij je veels te druk maakt over dit en mensen gek noemt : is het JOUW probleem dat mensen dit bij mkbers instellen?

Op je teentjes getrapt ofzo? Ten eerste heb ik het nergens over problemen met GDNS bij MKB's en lager, ten tweede zijn mensen die op de verkeerde plek zitten bij een bedrijf en bedrijfskritische systemen in gevaar brengen door hun onkunde zonder daar verantwoordelijk voor gehouden te willen worden wel degelijk gek te noemen, of vind jij dat normaal? Ik post iets, jij probeert daar hard op terug te komen en dan geef ik antwoord waarbij je dan terug komt met regeltjes als

Ik zie het al, Johnkeates is een pro en wij zijn een stelletje amateurs.

wat ik gewoon kinderachtig vind. Vind je dat zelf niet ook een beetje?

Los van de hele semantiek, de reacties enz. lijkt het me bij kleine bedrijven helemaal geen slecht idee om bijvoorbeeld 3 nameservers op te geven om je risico te spreiden. Bijvoorbeeld de DNS server die bij een DNSBench omhoog komt, een ISP server, en een Level 3 server. Als die dan alle drie down zijn heb je wel grotere problemen dan slechts DNS wat niet werkt; als een grote DNS server en L3 down zijn is er genoeg van het internet stuk om sowieso nergens meer te komen.

[ Voor 31% gewijzigd door johnkeates op 01-03-2015 22:09 ]

Wim-Bart schreef op zondag 01 maart 2015 @ 22:53:
Ik denk persoonlijk dat je gewoon helemaal geen publieke DNS servers moet gebruiken om naar te forwarden en laat je eigen DNS het maar oplossen. Laat je eigen DNS maar gewoon naar de root-servers resolven dat lost gewoon een heleboel problemen op. Bij een grotere implementatie gewoon 2! Caching DNS servers in je DMZ neerzetten waar je eventueel je split-horizon op kan inrichten. Het is tenslotte allemaal caching en die ene milliseconde bij de eerste aanvraag maakt ook geen fluit uit, ook al is het een seconde.

Daar lijken veel mensen het hier niet mee eens te zijn.

Het hangt natuurlijk sterk van de situatie af, maar als je er over na denkt is er eigenlijk weinig reden om sowieso je upstream DNS cache te wijzigen:

- Als je setup geen goede DNS vereist kan je alles lekker laten zoals het is
- Als je setup een DNS server heeft kan je net zo goed direct laten recursen

Natuurlijk zijn er kleine verschillen, en je je dat je ISP een ruk DNS server kan hebben, dan heeft het uiteraard zin om een andere te gebruiken.

Het punt waarop het zinvol is om zelf een DNS cache met recursor te draaien is ook niet altijd even duidelijk, want als er niet genoeg mensen op zitten te resolven kan je cache niet lekker gespekt worden en is het uiteindelijk langzamer dan een third party DNS cache gebruiken. Wat ik in de praktijk gemerkt heb is dat als je ±25 mensen hebt (±50 devices dus) je genoeg DNS kan cachen om sneller te zijn dan een externe cache. Daar onder heeft het alleen voordeel als je veel dezelfde domeinnamen wil resolven. Je kan natuurlijk ook prefetchen, dat is wat o.a. Google ook doet om de cache voor het verstrijken van de TTL of de cache timer te verversen en zo eventuele updates alvast te hebben.

johnkeates schreef op zondag 01 maart 2015 @ 22:00:
Dit is dan ook niet iets wat je voor een MKB doet, daar kan je met een simpele oplossing zoals dnsmasq en consorten in de router van de ISP die er standaard bij zit. Vandaar ook mijn post dat het voor een MKB natuurlijk geen zak verschil maakt en als je luxe wil doen misschien een ding als unbound zou draaien (johnkeates in "[DNS]Google en forwarders")

Ik weet niet precies waarom je eerst om een antwoord vraagt en dan op het antwoord reageert in de trant van "leuk voor je, maar ik wil eigenlijk gewoon vertellen dat ik hoe dan ook iets slechts van je verhaal wil maken". Als er een reactie uitgelokt wordt moet je er niet van staan te kijken als ie ook daadwerkelijk komt.

Verder heeft het natuurlijk geen in om iets anders als MSDNS te draaien als je niks anders dan MSDNS nodig hebt, lijkt me vrij logisch. Daarom ook een lijstje van de redenen waarom je MSDNS niet zou draaien. Als je specs daar niet mee over een komen is er dus geen reden geen MSDNS te draaien. Waarom je dat dat weer extra wil noemen vraag ik me ook af. Probeer je er een soort van persoonlijke aanval van te maken?

Ik een persoonlijke aanval? Al was het niet persoonlijk naar mij gericht, volgens mij was toch echt jij degene die hier mensen gek in hun hoofd noemde. Misschien moet je je eigen posts even doorlezen om te kijken op welke manier je dingen brengt, dat helpt namelijk niet.

Wat MSDNS betreft: zoals gezegd, ik vindt je argumenten gewoon flauwekul omdat die niet opgaan voor het overgrote merendeel van de omgevingen. Voor de meerderheid is MSDNS gewoon een prima oplossing. Dan is het raar als er even een Tweaker langs komt die even komt melden dat je bijna wel gek moet zijn om MSDNS te gebruiken:

Zelfs voor de meest kleine MKB setupjes is een lokale Unbound server nog de moeite waard, geen full fledged autorative DNS server, maar toch stukken beter dan de rommel die je anders door je strot geduwd krijgt.

Op je teentjes getrapt ofzo? Ten eerste heb ik het nergens over problemen met GDNS bij MKB's en lager, ten tweede zijn mensen die op de verkeerde plek zitten bij een bedrijf en bedrijfskritische systemen in gevaar brengen door hun onkunde zonder daar verantwoordelijk voor gehouden te willen worden wel degelijk gek te noemen, of vind jij dat normaal

Oftewel: doe het op mijn manier en anders ben je onkundig en een "gevaar" voor de bedrijfsvoering. Moet vast heel fijn zijn om met jou samen te werken..

Het spijt me maar inmiddels hebben de meeste mensen denk ik wel door wie hier gek is.

johnkeates schreef op maandag 02 maart 2015 @ 00:08:
dat is wat o.a. Google ook doet om de cache voor het verstrijken van de TTL of de cache timer te verversen en zo eventuele updates alvast te hebben.

Als Google dat nou in de praktijk zou doen dan zou hun DNS ook gewoon werken.
Feit is dat Google flut-DNS servers draait. Uptime en snelheid is over het algemeen goed. Echter de replies van Google kloppen vaak niet. Met name de replies van Google's concurrenten kloppen vaak niet.

johnkeates schreef op zondag 01 maart 2015 @ 05:29:
Een Hoop bla bla

Dit doet me denken aan de klaverblad reclame.
Een externe komt even langs, en komt hun wel even vertellen hoe ze hun bedrijf moeten runnen.

johnkeates schreef op zondag 01 maart 2015 @ 16:41:
In plaats van los op iedereen te reageren, een samenvatting:

- Ja ik blaas hoog van de toren, om dat ik toevallig net bij twee bedrijven vandaan kwam die allebei Public DNS gebruikten bij mission-critical applicaties, waarbij in de requirements duidelijk was aangegeven dat er geen data gelekt mocht worden, en waarbij er een eis van een minimale SLA gebonden was aan de projecten, en er een of andere knul die via via bij beide bedrijven de boel wel even zou opzetten zich aan geen enkele spec gehouden heeft. Het was eigenlijk vooral een catharsische rant, mijn excuses.

Dan heeft dit bedrijf welmeer grote problemen. Ze hebben dan duidelijk niet hun architectuur op orde.
Maar je gaat daarna wel weer op de zelfde "ik weet het beter" manier verder.

- Harde redenen waarom Google Public DNS specifiek niet te gebruiken:
• Als je simpelweg gratis snelle DNS wil is UltraDNS of Cegetel bijna altijd sneller
• Geen SLA (kan verplicht zijn) https://developers.google.com/speed/public-dns/faq#sla
• Privacy; er staat op de FAQ dat er niks 'onthouden' wordt, in de legal docs staat dat ze het wel doen
• Als je simpelweg makkelijk te onthouden betrouwbare DNS wil is Level 3 de betere keuze, downtime sinds 2001: 5 minuten in totaal. Plus, als er bij Level 3 iets mis gaat kan je er van uit gaan dat je wel grotere problemen hebt dan DNS; waarschijnlijk gaat 90% van de trans-atlantische link gewoon plat als L3 in de problemen zit.

Als SLA verplicht is, dan ben je zo wie zo niet goed bezig met gratis dns servers. Waarom niet direct meteen voor root servers gaan? Of een partij hier voor in de arm nemen.
En als google DNS servers plat gaan, dan merkt ook een groot gedeelte van het Internet het wel.

- SLA van ISP: ik heb het niet over je huis-tuin-keuken abbo's bij je lokale ADSL of Kabel providers, we hebben het hier over B2B netwerk providers. Als je bijvoorbeeld naar Cyso kijkt zit overal gewoon een degelijke SLA op. KPN Wholesale kan er ook wat van. Natuurlijk ga je geen SLA krijgen bij een of andere setup die je thuis hebt staan of in de kroeg, maar dat is natuurlijk niet wat we met zakelijke klanten bedoelen he Nu zijn SLA's natuurlijk rommel als je gewoon goede service wil, maar SLA's zijn in het bedrijfsleven nou eenmaal een eis. Een service zonder SLA kan je al bijna niet meer afnemen om dat het niet 'mag' van de personen die de eisen moeten goedkeuren.

Je weet dat de meeste klanten gewoon MKB klanten zijn. Die hebben gewoon een zakelijke ADSL lijn, of misschien kabel. En als je geluk hebt, zakelijke glasvezel. Bij de meeste krijg je gewoon een DNS server bij die een stuk minder stabiel en professioneel onderhouden is dan de google DNS servers.

- Met SLA bedoel ik niet dat je gratis een SLA krijgt bij een of ander abbo'tje, maar dat je een SLA vereist en dus een service afneemt waar je een SLA voor kan krijgen.

Wat dus ongeveer ook 99% niet nodig heeft, en ook niet gebruikt.

Maar dat lijkt me weinig te maken hebben met setups bij zakelijke klanten, en gezien dat toevallig net is waar dit topic mee begon is dat een beetje richting off-topic.

Dat offtopic pas wel mooi bij jouw opmerkingen.

Over DNS in het algemeen:

Stel dat je gewoon snelle DNS wil in een situatie waar het niet uit maakt waar het vandaan komt, draai dan DNSBench, en kijk welke server je de beste performance geeft.

Toevallig net even gedaan. OpenDNS, daarna google, UtlraDNS en daarna komt level3 eens langs.

- Geen split horizon. Valt dus in 99% van de setups waar je een DNS server nodig hebt al buiten de boot.

Nog niet nodig gehad.... Ik denk dat het eerder 99% niet nodig heeft.

- Beperkte backend schaling (schaalt mee met hardware, en that's it), alleen te schalen met slaves

Ook nog niet mee gemaakt dat op mijn server DNS de limiterende factor was op een server. Daarbij MS DNS wordt voornamelijk intern gebruikt icm met de overige Microsoft producten.

- Integreert niet met de rest van je netwerk, behalve als je Windows als router, NAT en DHCP box gebruikt

Die is ook nieuw voor mij. Ik heb zelf nog nooit een Windows Router gezien. Volgens mij is de Integratie niet perfect, maar zeker wel goed te noemen.

Ik noem ter illustratie ongeschoolde hobbyisten die zichzelf beheerder noemen om dat het juist daar vaak is waar het mis gaat. Om dat makkelijk te scheiden van mensen die wel op de plek zitten waar ze moeten zitten gebruik ik scholing in het algemeen, wat natuurlijk niet betekent dat scholing de eindoplossing voor alles is. Ik hoop dat dat zo duidelijker is.

Ik heb zelf een hekel aan personen die het denken allemaal beter te weten, zonder de requirements goed te weten.

Het gemiddelde MKB netwerk geeft meer dan voldoende aan een standaard MS DNS oplossing. Zelfs grote klanten kunnen intern perfect uit met de Microsoft DNS. In Enterprises komen andere eisen naar voren. En daar kan je ook perfect andere DNS servers gebruiken icm met Microsoft.

Ik heb nog weinig sterke argumenten gezien, waarom ik geen Microsoft DNS zou moeten gebruiken, zowel bij klanten met maar 10 machines, 100 machines, 1000 machine of 10k machines.

Rolfie schreef op maandag 02 maart 2015 @ 08:56:
Je weet dat de meeste klanten gewoon MKB klanten zijn. Die hebben gewoon een zakelijke ADSL lijn, of misschien kabel. En als je geluk hebt, zakelijke glasvezel. Bij de meeste krijg je gewoon een DNS server bij die een stuk minder stabiel en professioneel onderhouden is dan de google DNS servers.

Zelfs de DNS servers van Zonnet zijn beter dan die van Google

De publieke DNS servers van Google hebben inderdaad een aantal nadelen. Eentje die volgens mij nog niet genoemd is is deze: Spamhaus RBL werkt niet met Google DNS. En wat voor Spamhaus geldt is ook van toepassing op andere diensten.

Verder is het gebruik van forwarders naar een 3rd party DNS server en Microsoft DNS is 9 van de 10 gevallen een prima praktijk. Als je dan specifieke eisen hebt zoals bijvoorbeeld split horizon dan kun je uitwijken naar een alternatief, meestal weer in combinatie met Microsoft DNS.