Public DENIC mailinglist

[Frank Tegtmeyer <fte-sub-denic AT fte.to>]

"Gert Doering, Netmaster" <netmaster AT space.net> writes:

> Der Query-Traffic geht minimal rauf, ja.

Vor allem die Antwortzeit für den anfragenden Dienst. Auch eine Größe,
die in die Zuverlässigkeit einfliesst. Evtl. rennt die Anwendung genau
deswegen in ein Timeout.

> > - Abhängigkeit von *zusätzlichen* TLD Nameservern und deren
> >   Zuverlässigkeit, damit Reduktion der Gesamtzuverlässigkeit.
> 
> Die Reduktion der Gesamtzuverlaessigkeit kann ich nicht nachvollziehen
> - zu einer Reduktion kaeme es dann, wenn ein Fehler bei .net auch 
> "automatisch" alle .de-Server unerreichbar macht, und umgekehrt.

Zuverlässigkeit ist nicht nur technische Erreichbarkeit sondern auch
Vertrauenswürdigkeit. Die Anzahl der Server, die den Resolving-Prozess
beeinflussen wächst durch die Hinzunahme von .net (Root-Server aussen
vor) von 11 auf 24. Mehr als 100% mehr Möglichkeiten für Angriffe auf
.de.

> Das sind unabhaengige Pfade, die (Statistik fuer Anfaenger) die
> Gesamtverfuegbarkeit erhoehen.

Es sind keine unabhängigen Pfade. Es wird ein *zusätzlicher*
Resolving-Schritt eingeführt, der bei Auswahl eines .de.net-Servers
zum Tragen kommt. Die Anzahl der Fehlermöglichkeiten wird dadurch
erhöht, nicht verringert. 

> Wenn die IP des .de.net-DNS nicht ermittelbar ist (weil .net kaputt
> ist), macht der Client-Resolver einen Fallback auf einen entsprechenden
> Resolver in .de - das ist *gut*, und nicht schaedlich.

Es ist absolut unnötig. Die Adresse kann ja direkt durch die
Root-Server rausgegeben werden. Kein Grund, .net irgendwie
einzubeziehen.

> > - Zusatztraffic auf den Root-Nameservern, da ausser .de auch .net
> >   angefragt werden muss.
> 
> Es wird ja nicht beides angefragt, sondern der Client-Resolver sucht
> sich einen Pfad aus und folgt dem.  

Falsch. Zuerst wird .de angefragt. Ergebnis ist die Serverliste
inkl. glue. Die glue records für die .de.net-Server werden verworfen,
da sie nicht in der angefragten Zone liegen (das macht auch Bind seit
einer Weile so).
Wird ein .de.net-Server benutzt, wird jetzt ein Query-Restart für .net
durchgeführt, was zur Abfrage für .net bei den Root-Servern führt.

Noch einmal zusammengefasst: de.net für die .de-Nameserver ist
unsinnig und kontraproduktiv.

MfG Frank