1. ¿Cuáles son los horarios de actualizaciones y activaciones de dominio ?
NIC Chile recibe modificaciones a la información de los servidores de nombre de los dominios las 24 horas del día, a través del sitio web www.nic.cl.La zona .cl es generada y publicada cada 30 minutos, con las modificaciones recibidas hasta diez minutos antes.
Las actualizaciones debidas a cambios en las zonas en los primarios, dependen exclusivamente de los parámetros definidos en cada zona en particular (ttl, refresh, etc).
2. Hice una modificación esta mañana y todavía no puedo ver el cambio. ¿Por qué ? ¿Cuánto se demoran en actualizar los cambios ?
El sistema de actualización no es automático y puede demorarse hasta 24 horas a contar de la modificación. En general, la actualización depende casi exclusivamente del servidor configurado como "primario" para el dominio.
3. ¿Es necesario tener un secundario ?
En estricto rigor no, pero es tremendamente conveniente. En general, las consultas a un dominio se balancean entre el primario y los secundarios que existan. Si existe sólo un primario, y si éste tiene problemas de conectividad (por ejemplo), las consultas hechas fallarán y nadie sera capaz de accesar el dominio.
4. ¿Puede ser NIC mi servidor secundario ?
Si lo desea, puede utilizar el servidor de nombres de NIC Chile como secundario para su zona, de forma gratuita. Para ello debe seleccionar el botón "Configurar a NIC Chile como secundario" en el formulario de su dominio al crear un dominio nuevo o bien modificando uno existente.
Además, debe seguir estas recomendaciones técnicas para su correcto funcionamiento.
5. ¿Qué diferencia hay entre un servidor primario y un secundario ? ¿Si se cae el primario, responde el secundario ?
En realidad, la diferencia entre un primario y un secundario es bastante sutil. La razón de la existencia de ambos es para facilitar la administración del espacio de nombres de dominio. Básicamente, el DNS de un servidor primario lee su configuración de un archivo en el disco duro; el DNS de un servidor secundario copia su configuración del primario. Así, si es necesario hacer un cambio a la configuración, se modifica el primario y se espera a que los secundarios "se enteren" del cambio. Esta es la razón también para que el proceso de actualización de cambios no sea automatico.
6. ¿El registro secundario sirve sólo para que, cuando nuestro servidor esté abajo, aparezca el mensaje de nic que este dominio tiene dueño ?
No, el servidor secundario muestra la misma informacion que el servidor primario, este es un servicio a nivel de DNS, si el servidor web está abajo la página no se verá aunque tenga definidos varios secundarios.
7. ¿Qué significa "responder con autoridad" por un dominio ?
Esa es una expresión que se aplica a los servidores. Un servidor puede o no "responder con autoridad" (o "autoritativamente", un barbarismo muy utilizado) por un dominio. Esencialmente, cuando se le hace una pregunta a un servidor de nombres por un determinado dominio, este puede dar dos respuestas: que no sabe con certeza (en cuyo caso da la mejor respuesta que tiene e indica a quién se le puede preguntar para obtener una respuesta certera), o puede dar una respuesta con certeza. En este segundo caso, decimos que el servidor "responde con autoridad".
8. ¿Puede un servidor secundario responder con autoridad por un dominio ?
Sí puede. De hecho, cuando se trata de resolver una consulta por un dominio, el sistema de nombres no hace diferencia entre servidor primario y secundario. Ambos responden con autoridad.
9. ¿Qué valores son adecuados para los parámetros de 'refresh', 'retry', 'expire' y 'minimum TTL'?
Buenos valores para estos parámetros son:Refresh = 10800 (3 horas) Retry = 3600 (1 hora) Expire = 604800 (7 dias) Minimum TTL = 86400 (1 dia)
10. A pesar de que mi servidor está encendido y funcionando, si hago "ping" a la dirección IP no obtengo respuesta.
Un paso en la instalación de un dominio es que el servidor esté encendido y conectado a la red, y la otra es la habilitación del servicio. El problema puede consistir en que no existe un servidor de nombres corriendo en dicho servidor, o que éste esté siendo filtrado (obstaculizado) por un firewall. Pueden existir una serie de problemas de conectividad también, que tienen que ver con su proveedor. Consulte con su proveedor por si existiese algún problema de este tipo.
11. ¿De qué se trata el "cambio de política técnica" de NIC Chile? ¿Qué es un servidor stub?
El sentido del mail enviado a los contactos técnicos de dominios stub, fue mas que nada para que la gente revise la información que está en el formulario de inscripción de NIC Chile con la que se maneja dentro de los servidores de nombres del dominio, si esta es la misma no tendrá problemas. El hecho de que el servidor de NIC Chile deje de actuar como stub, significa que direccionará los requerimientos de los dominios bajo .cl, directamente hacia los servidores ingresados en el formulario de inscripción, por lo que si estos datos están incorrectos no se podrá resolver el dominio.
Los pasos a seguir para evitar conflictos son los siguientes:
a) Verificar cuales son los nombres e ips de los servidores de nombres del dominio. Esto lo puede averiguar con su proveedor del servicio de DNS si es que no los sabe.
b) Comprobar que en el formulario de inscripción de dominio, que está en NIC Chile estén los datos correctos, de lo contrario modificar los datos desde https://www.nic.cl/cgi-bin/ingresa-solicitud con la opción 'Modificación' seleccionada.
c) Comprobar que desde el servidor de nombres se responda con la información correcta, es decir que el servidor de nombres primario del dominio diga que los servidores de nombres del dominio (primario y secundarios, si es que los tiene) son los que deben ser.
12. ¿Dónde puedo ver ejemplos de configuración de DNS y zonas?
Existen ejemplos de configuración de servidores de nombre y de zonas en charlas dictadas por NIC Chile en sus seminarios, en la dirección http://www.nic.cl/cursoDNS/ponencias/index.html.
13. ¿Qué información entrega el botón Z?
El botón "Z" permite ver información técnica de la zona de un dominio, lo cual es utilizado por muchos usuarios como una forma de "debugging" (corrección de errores).
Inicialmente este botón mostraba la información completa de la zona, pero debido a la preocupación creciente por la seguridad, el acceso público a la zona fue siendo considerado cada vez más como un riesgo, y por esa razón, y atendiendo a la preocupación de algunos usuarios, NIC Chile decidió eliminarlo.
Actualmente se muestra las entradas en la zona de .CL, y en caso de utilizar el servicio de secundario de NIC Chile, los registros SOA y NS de las zonas.
14. ¿Cómo puedo prepararme para el lanzamiento de DNSSEC en la raíz de Internet?
Desde comienzos del año 2010 se ha estado informando sobre el proceso de adopción de las extensiones de seguridad al DNS conocidas como DNSSEC en la zona raíz. Este cambio significa el uso de llaves criptográficas para el intercambio de información DNS, la cual permite autenticar la información transmitida.
Durante el proceso de adopción, ICANN en conjunto con Verisign y el DoC de USA, han adoptado el camino de ingresar gradualmente a los 13 root-servers la zona raíz firmada con una llave oculta, la cual es conocida como DURZ. Este proceso llega a su culminación el día Miércoles 5 de Mayo de 2010, aproximadamente a las 17:00 UTC, cuando se termine agregando al root-server J.
Normalmente y hasta antes de la adopción de DNSSEC, los paquetes DNS generalmente tienen un tamaño menor a 512 bytes y son transportados por vía protocolo UDP. Si el tamaño del paquete es mayor, se extiende el tamaño del paquete haciéndole una marca con algo conocido como EDNS-0, lo cual permitiría llegar a tamaños de 4096 bytes. Si el servidor DNS no soporta eso, como último intento podría tratar de cambiar su comunicación utilizando TCP, lo cual podría aumentar mucho más el uso de ancho de banda con la consulta (agregando cabeceras, checksums y/o fragmentación entremedio).
Hoy en día, con el uso de DNSSEC, el tamaño de los paquetes puede aumentar a tamaños mayores y ese proceso podría afectar a routers y/o firewalls antiguos o mal configurados.
Estudios hechos por la misma gente de Verisign (Presentación Verisign en RIPE60), han demostrado que hasta el momento los resolvers DNS no han preferido cambiarse de servidores con-DNSSEC a servidores sin-DNSSEC. Sí ha aumentado la tasa de consultas TCP, pero no ha habido un cambio circunstancial en la manera de operar y/o del comportamiento en el funcionamiento de Internet para el usuario final.
Sin embargo, administradores de redes, sistemas y proveedores de internet están incentivados a testear sus servicios con algunas o todas las siguientes medidas:
- Revisar que tengan un firewall o un router entre su servidor DNS y el mundo exterior que dificulte la comunicación o cortando paquetes
- Revisar que el software del servidor DNS no tenga des-habilitado EDNS-0
- Revisar que no se esté restringiendo el tamaño de las preguntas y/o respuestas en su servidor DNS (por ejemplo, bloqueando tráfico TCP al puerto 53)
Cualquier tipo de consulta al respecto, por favor háganosla llegar a dnssec@nic.cl donde alguno de nuestros ingenieros que está actualmente trabajando en el desarrollo de DNSSEC para .CL podría dar algunas luces de cómo proceder.
Tests para verificar estado servidores DNS:
- https://www.dns-oarc.net/oarc/services/replysizetest
- http://labs.ripe.net/content/testing-your-resolver-dns-reply-size-issues
Información sobre el proyecto DNSSEC:
15. ¿Puedo utilizar un nombre de dominio .CL con los servicios de Google Apps?
El servicio "Google Apps" de hospedaje de sitio web y correo electrónico, permite el uso de un nombre de dominio personalizado. Para utilizar un nombre de dominio .CL, debe primero inscribirlo y utilizar un servidor de nombres (DNS) que le permita configurar las redirecciones que necesita.
Puede ver un ejemplo de su uso en el sitio externo Manzana Mecánica.
16. ¿Puedo utilizar un nombre de dominio .CL con un blog de Blogspot?
El servicio gratuito de weblogs "Blogspot" (antes conocido como "Blogger") permite el uso de un nombre de dominio personalizado. Para utilizar un nombre de dominio .CL, debe primero inscribirlo y utilizar un servidor de nombres (DNS) que le permita configurar las redirecciones que necesita.
Puede ver un ejemplo de su uso en el sitio externo clconblogspot.blogspot.com.