VS>>>> Вторая строчка nameserver действительно почти бесполезна, т.к. VS>>>> эхотаг AK>>> никто (потому что код ресолвера у всех из bind4) VS>> Винда умеет игнорировать нерабочие DNS сервера. AK> как-то не очень она их умеет - у меня, по некоторым причинам, это AK> частая конфиграция.
А я часто наблюдал, как винда при отключении DNS сервера, к которому она ходила, перестает резолвить на минутку, а потом переключается на второй из списка и работает уже через него, а к дохлому и не обращается.
AK> У винды есть еще и собственное кэширование, AK> неотключаемо, поэтому если сервер сдох в процессе твоей работы - можно AK> и не заметить, а вот если до ее начала - будут все те же таймауты.
Да ладно неотключаемо, сервис "DNS client" отключаешь и нет кэширования.
Мне бы лучше кто рассказал, как отключить на 7-ке только негативное кэширование (факта несуществования имени). Гуглится рецепт с правкой реестра, только он не работает.
AK>>> а зачем в XXI веке какие-то "forward-addr"? VS>> Hапример наличие своих технологических DNS зон, помимо VS>> использования AK> не вижу связи.
Ну если у тебя комп ходит к 8.8.8.8 или даже сам к корневым серверам, а тебе еще и имена из конторской зоны pupkin.corp резолвить надо. Средствами resolv.conf этого не сделать.
VS>> Всё ляжет, если первый nameserver в resolv.conf перестаёт VS>> отвечать и таймаут по умолчанию. Даже по SSH хрен зайдешь. AK> ну, да, не то чтоб совсем не, но будут э...особенности.
VS>> Потому и я включил почти везде локальный unbound, он эту проблему VS>> решает. AK> что-то это странный способ решения проблемы - по стремному сетевому AK> сервису на каждую систему, да неглядя. Существуют гораздо более AK> простые и почти общедоступные способы резервировать dns (кажется, я AK> повторяюсь)
Да что может быть проще нескольких NS-ов, и ничего дополнительного. А локальный unbound - это такой типа сервис "DNS client."
VS>> ^^^^^^^^^^^^^^^^^^^^^^^ локальный unbound рулит, как я уже и VS>> сказал. AK> не-не-не, я ничего не хочу знать про дыры теперь уже в unbound, и AK> суматошно латать его в стадвадцати экземплярах, если вдруг.
Особо страшного случиться не должно, т.к. он по умолчанию только на localhost слушает. Если ты уже сидишь на localhost - у тебя может быть много других способов поиметь систему.
AK> Кстати, AK> для голого кэширования имен в юниксах сто лет существует nscd. Правда, AK> по факту, я его уничтожаю везде где нахожу, ровно из тех же
Вот этот nscd я попытался однажды применить для кэширования NIS (на случай отвала NIS сервера). Ничего не вышло: в случае отвала NIS всё равно всё вставало колом. Больше я с ним не связывался.