Protokol DNS – rekurzivní a nerekurzivní dotazy

  DNS, Protokol DNS, Teorie DNS

Při posílání dotazu DNS serveru lze v hlavičce uvést, zda si tazatel přeje provést tzv. rekurzivní dotaz. To znamená, že pokud DNS server sám odpověď nezná (není autoritativní pro doménu, na kterou se ptáme), spustí standardní algoritmus pro vyhledání odpovědi (tj. začne u kořenových DNS serverů a postupuje do nižších úrovní až k cíli) a tazateli pošle konečný výsledek. Záleží však na serveru, zda skutečně rekurzivní dotaz provede. Může ho odmítnout a klientovi poslat pouze takovou odpověď, kterou zná sám. Pokud nezná ani část odpovědi, často pošle zpět seznam kořenových DNS serverů (čímž nám říká, kde máme začít hledat).

Pravidlem by mělo být, že autoritativní DNS servery rekurzivní dotazy neprovádí a starají se jen o svůj hlavní úkol, poskytovat autoritativní údaje o svém pevně daném seznamu domén a jejich záznamech. Naopak cachovací DNS servery musí ze své podstaty provádět rekurzivní dotazy.

Kombinace autoritativního a cachovacího DNS serveru na jednom stroji je špatný nápad, protože z toho mohou plynout problémy. Představme si doménu „xyz.cz“, která má autoritativní server „ns.abc.cz“ a my tento server současně používáme jako cachovací, tudíž nám zprostředkovává přístup k celému DNS systému v Internetu. Pokud se stane, že doména „xyz.cz“ změní své autoritativní DNS servery, tedy je DNS servery domény „cz“ delegována jinam než na „ns.abc.cz“, a administrátor serveru „ns.abc.cz“ zapomene tuto zónu na serveru smazat (případně se o změně situace vůbec nedozví) a my se na doménu „xyz.cz“ zeptáme, dostaneme odpověď od „ns.abc.cz“, která nejenom že nemusí být pravdivá, ale navíc se tváří jako autoritativní. Je to proto, že server „ns.abc.cz“ je stále nakonfigurován jako autoritativní pro tuto doménu a platnost delegace této domény na sebe si nijak neověřuje. Při striktním oddělování autoritativních a cachovacích DNS serverů k tomuto problému nedojde.

Byl pro Vás tento návod užitečný?