Analýza CZ domén duben 2007 - nejzávažnější zjištěné problémy, závěr

zpět na obsah

Zřejmě nejzávažnějšími problémy u zkoumaných domén jsou uvedeny v následujícím seznamu, který je setříděn dle závažnosti problému s přihlédnutím k počtu ovlivněných domén.

1. 41793 (14%) domén má všechny své DNS servery v jedné podsíti (single point of failure)
2. 123545 (41%) domén má všechny své DNS servery v jednom autonomním systému
3. 209 (1,6%) DNS serverů má chybně uvedené glue
4. 4746 (48%) DNS serverů nabízí rekurzivní služby, jedná se tedy o kombinaci autoritativního a cachovacího serveru
5. U 2721 (0,9%) domén se vyskytují DNS servery se stejnou IP adresou
6. U 1050 domén nelze přeložit některý název DNS serveru na IP adresu
7. U 159 domén se nelze spojit s žádným DNS serverem
8. Pro 1915 (0,6%) domén není žádný DNS server (u ní uvedený) autoritativní
9. U 54362 (18%) domén lze z alespoň jednoho serveru získat obsah celé zóny prostřednictvím AXFR
10. 1504 (15%) DNS serverů má problém se svým reverzním záznamem (záznam nemá nebo nesouhlasí)

Přísnými kritérii prošlo pouze 9579 domén - u nich se nevyskytla žádná chyba, varování ani upozornění. Nutno však podotknout, že negativní výsledky označené jako upozornění nejsou závadou, jen se dané parametry vymykají z doporučovaných hodnot. Často to může být úmyslné speciální nastavení. Relevantnější tedy bude nejspíš číslo 17108, které udává počet domén bez chyb a varování, a dále 237942 domén (79%) nemá žádný negativní výsledek označený jako chyba. Avšak plných 63979 domén (21%) u sebe nějakou chybu má!

Z uvedeného se zdá, že čeští správci DNS serverů se příliš nezajímají o to, aby byly jejich domény a domény jejich zákazníků dostupné i v kritických situacích (výpadky napájení, poruchy konektivity apod.), protože DNS servery domén soustředí do společných lokalit, sítí či autonomních systémů a většinou používají pouze 2 DNS servery. Tím sice nejspíš ušetří náklady na provoz dalších DNS serverů, jejich správu, umístění do jiných lokalit atd., ale předpokládám, že při prvním větším výpadku služeb budou vzniklé škody mnohem vyšší.

Stejně závažný se mi jeví fakt, že polovina DNS serverů slouží současně jako cachovací, což sice opět vede k ušetření několika málo peněz na provoz dalšího serveru, ale je to špatná volba. Míchání autoritativních a cachovaných dat na jednom stroji může zapříčit problémy, o kterých se nikomu ani nezdálo.

Představme si, že zákazník nějaké ISP firmy, která mu poskytuje připojení k Internetu, používá cachovací DNS server od ISP a současně má u stejné firmy zaregistrovánu doménu. Tento ISP používá pro cachování DNS server, který je také autoritativní pro domény svých zákazníků. Jednoho dne se zákazník rozhodne, že doménu převede k jiné společnosti a že také provede příslušnou změnu DNS serverů. Teď nastal závažný problém, protože cachovací DNS server, který zákazník používá, si stále myslí, že je autoritativní pro onu domén, protože ji ISP ze serveru nesmazal (protože se prostě ani nedozvěděl, že doména již na tyto DNS servery nesměřuje). Ať dělá zákazník cokoliv, cachovací DNS server mu bude stále vracet "staré" informace o doméně. A přijít na příčinu takového problému (kdy někomu doména funguje po staru a někomu po novu podle toho, kdo používá jaké cachovací DNS servery), bude hodně velký oříšek.

Zajímavé by bylo srovnání s jinými TLD. Další testy se chystají na následující měsíce.

Poslední změna: 22.04.2007
Změnil: Petr Šťastný

(c) Petr Šťastný 2012, e-mail: