Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 8 reacties
Bron: PowerDNS

PowerDNS is een dns-server met een database als back-end, waardoor het beheer van een groot aantal dns-entries op een gemakkelijke manier kan plaatsvinden. De ontwikkelaars hebben eerder besloten om de twee delen waaruit PowerDNS bestaat, een recursor en een authoritative nameserver, apart uit te geven. Waardoor men sneller en gerichter een nieuwe versie kan uitbrengen, aldus de ontwikkelaars.

Als je een dns-look-up uitvoert, zal een recursor in eerste instantie beginnen met het stellen van deze vraag aan een dns-rootserver. Deze kan dan doorverwijzen naar andere servers, vanaf waar weer doorverwezen kan worden naar andere servers, enzovoort, totdat uiteindelijk een server bereikt is die het antwoord weet of weet dat de look-up niet mogelijk is. Van dit laatste kan sprake zijn als de naam niet bestaat of de servers niet reageren. Het proces van het langslopen van verschillende authoritative servers heet recursie. De ontwikkelaars hebben PowerDNS Recursor 4.0.2 uitgebracht. De veranderingen in deze uitgave zien er als volgt uit:

PowerDNS Recursor 4.0.2

This release fixes a regression in 4.x where CNAME records for DNSSEC signed domains were not sorted before the final answers, leading to some clients (notably some versions of Chrome) not being able to extract the required answer from the packet. This happened exclusively for DNSSEC signed domains, but the problem happens even for clients not requesting DNSSEC validation.

Further fixes and changes can be found below:

Bug fixes
  • #4264: Set dq.rcode before calling postresolve
  • #4294: Honor PIE flags.
  • #4310: Fix build with LibreSSL, for which OPENSSL_VERSION_NUMBER is irrelevant
  • #4340: Don't shuffle CNAME records.
  • #4354: Fix delegation-only
Additions and enhancements
  • #4288: Respect the timeout when connecting to a protobuf server
  • #4300: allow newDN to take a DNSName in; document missing methods
  • #4301: expose SMN toString to lua
  • #4318: Anonymize the protobuf ECS value as well
  • #4324: Allow Lua access to the result of the Policy Engine decision, skip RPZ, finish RPZ implementation
  • #4349: Remove unused DNSPacket::d_qlen
  • #4351: RPZ: Use query-local-address(6) by default
  • #4357: Move the root DNSSEC data to a header file
Moderatie-faq Wijzig weergave

Reacties (8)

Wat zijn we in NL toch goed in DNS. Dit is ook weer zo'n pareltje. Helaas zijn DNS-servers niet echt sexy waardoor de meeste mensen niet weten hoe ontzettend goed NL is op dit vlak.
Vertel, waarom is het een pareltje? Ik gebruik op al mijn servers Bind, zowel als authorative nameserver als als recursor, wat een beetje de de facto standaard is. Ik ben oprecht geinteresseerd: waarom zou ik overstappen? Ik ben op zich best tevreden over Bind, veel features en snel, maar sta altijd open voor alternatieven natuurlijk, als ze echt beter zijn, that is.

[Reactie gewijzigd door MadEgg op 26 augustus 2016 17:30]

PDNS is een stuk moderner qua architectuur, en qua performance op veel vlakken net zo goed als BIND, of zelfs beter. Er is standaard goede ondersteuning voor andere opslagmethodes van de zones, zodat je in plaats van flat files ook MySQL, PGSQL enz. eenvoudig kan gebruiken. Voor BIND is er wel een halfgare LDAP plugin, maar echt flexibel is die niet. Qua software architectuur is ook BIND 9 nog vrij 'ouderwets'. Dat is niet perse verkeerd, en komt natuurlijk voornamelijk door de lange levensduur van het project, maar als nieuwe developer is het wat lastiger om er software mee samen te laten werken, en als sysadmin kan het wat overweldigend zijn om de configuratievorm goed onder de knie te krijgen.

Ik draai voor verschillende toepassingen BIND, PDNS, Unbound en dnsmasq, ze hebben allemaal andere eigenschappen die ze in sommige situaties beter laten passen. Zo zal ik embedded niet snel voor BIND of PowerDNS gaan, en als ik een eenvoudige DNS rewriter nodig heb om voor een ge´soleerd NAT netwerk wat adressen de herschrijven ga ik eerder even snel at in Unbound regelen dan met BIND views.

Als ik een krachtige DNS oplossing nodig heb om in een stuk software te integreren of goed mee te interfacen, dan gebruik ik liever PowerDNS. Voor core infra zit ik dan juist weer vaker met BIND, ook met IdM koppelingen. Zo'n BIND instance zal dan weinig handmatige records bevatten en vooral dynamisch bijgewerkt worden.

[Reactie gewijzigd door johnkeates op 26 augustus 2016 17:38]

PowerDNS is snel en flexibel. Het is met name sterk in integratie met andere systemen, zoals databases.

Het grootste nadeel van Bind vind ik de configuratie, die wordt snel complex en ondoorzichtig. Bind heeft een paar bijzondere features maar als ik die niet nodig heb dan blijf ik er liever weg.
Snel wil ik Bind niet meer noemen. Langzaam is het ook niet, maar het is ingehaald door de concurrentie (waaronder powerdns). Daarnaast gebruikt het vrij veel geheugen.

Persoonlijk kies ik meestal voor Unbound als resolver en NSD als authorative server. Beide zijn de snelste in hun soort, vrij eenvoudig te configureren en makkelijk te begrijpen. Daarbij zijn ze ook nog eens zuinig met geheugen. Ten slotte worden ze goed onderhouden en reageren de programmeurs snel op vragen en problemen. Pas als ik meer nodig heb dan die twee kunnen bieden (en dat is niet vaak) kijk ik naar andere DNS-software zoals PowerDNS.
Goede uitleg over DNS software van jou en @johnkeates verderop, maar waar ik eigenlijk benieuwd naar ben is waarom we juist in Nederland zo goed zijn in DNS. Is daar een specifieke reden voor?
Goede uitleg over DNS software van jou en @johnkeates verderop, maar waar ik eigenlijk benieuwd naar ben is waarom we juist in Nederland zo goed zijn in DNS. Is daar een specifieke reden voor?
Ik weet niet helemaal wie de kip is en wat het ei, maar
Nederlandse organisaties hebben geld geinvesteerd om goede DNS-software te schrijven en we hebben veel mensen met relevante kennis in Nederland. Bij veel DNS-gerelateerde projecten zijn dan ook Nederlanders betrokken.
PowerDNS is leuk snel en gaat soepel om met wat je hem vanuit de backend voert. DNSSEC (of het een goed ding is of niet) werk goed.

DNS is een van de belangrijkste dingen op het internet. Goed onderhoud en beheer word vaak onderschat.
Waarom twijfel over of DNSSEC iets goeds is of niet?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True