cose tecniche

Emilio Brambilla emilio a INET.IT
Ven 9 Ago 2002 22:54:47 CEST


ciao,
On Thu, 8 Aug 2002, Marco d'Itri wrote:

> Tutti i domini geografici[1] tranne 7 sono delegati a due soli name
> server: dns.nic.it dns2.nic.it, che fanno parte della stessa rete.
effettivamente la cosa non e` bellissima;

una volta i domini geografici erano spinti parecchio dalla registration
authority (se ben ricordo addirittura uno dei punti della lettera di AR di
qualche anno fa diceva qualcosa del tipo "[dichiaro] di aver valutato la
registrazione in un ramo geografico"), sembra che pero` tale pubblicita`
non abbia sortito l'effetto sperato e tutti li hanno dimenticati, anche
dal punto di vista tecnico (io per primo, vedendo l'annotazione di
Marco, inizialmente ho pensato "tanto sono solo domini geografici")

forse si potrebbe cercare uno sponsor per gestire i secondari dei domini
geografici...

> Tutti i server sono una monocultura di BIND 8. Sono l'unico a
> considerarlo potenzialmente pericoloso?
> Sia BIND 9 che NSD mi sembrano candidati degni di essere valutati per
> affiancare BIND 8. È in programma cercare alternative a BIND 8?
beh, bind non e` certo un sw privo di bug, restare sulla release 8 (quando
non servono le feature della 9) direi che puo` essere considerato saggio
(il vantaggio piu` grosso dell 9 credo sia la miglior scalabilita` su
macchine multiprocessore, come sono messe dal punto di vista hw e di
carico i dns autoritativi per it?)

> Che livello di servizio fornisce dns.nic.it? E gli altri server
> autorevoli?
> Ha ciascun server, se non un hot spare o un cluster, almeno dell'hardware
> di ricambio immediatamente disponibile?
fino a qualche anno fa non c'erano requisiti particolari da soddisfare (o
almeno non mi risulta), non so se e` cambiato qualcosa nel frattempo.
perche` non applicare rfc2870 anche ai dns autoritativi per it.?

> La notte capita spesso di trovarne uno che non risponde durante lo zone
> transfer, qualcuno lo considera un problema? Inoltre, spesso
> dns[23].nic.it ignorano i NOTIFY perché troppo carichi.
questo lo confermo (capita, sia pure raramente, anche che ad un paio di
giorni dalla modifica la zona non sia ancora stata aggiornata e si deve
procedere ad una modifica fittizzia per forzare un nuovo notify)

> Mi ricordo che dopo l'ultimo grosso buco di BIND uno di essi è rimasto
> vulnerabile per mesi, sono l'unico che se ne è preoccupato?
credo di averlo segnalato un paio di volte anche io :-)

> È una opinione diffusa che un name server autorevole (in particolare per
> un TLD) non debba essere ricorsivo per evitare ogni possibilità di
> spoofing.
> Metà dei server autorevoli per it accettano query ricorsive. Perché?
perche` sono server non-dedicati a fare i dns autorevoli, ma vengono
utilizzati anche dai clienti dell'isp sponsor (qualche anno fa anche
dns2.nic.it accettava query ricorsive); potrebbe la RA fare una verifica
della possibilita` di avere secondari solo non-ricorsivi per it.?

> BIND già da tempo permette di aggiornare una zona in tempo reale
> mediante UPDATE, e mi pare che alcuni TLD lo permettano. Qualcun altro
> la considera una caratteristica desiderabile?
puo` aiutare (in particolare in casi di errori da correggere)

> Per finire una cosa non tecnica ma che mi interessa lo stesso: come può
> un dominio essere in stato CHANGING-MNT dal 1995? Non avrebbe dovuto
> essere stato cancellato perché nessuno ne paga le spese?
in base a cosa hai stabilito che lo e` dal 1995?

--
Saluti,
emilio brambilla



Maggiori informazioni sulla lista ita-pe