DNS-server

1

2

Всех приветствую Есть два ДНС сервера master и slave На slave рекурсивные запросы обрабатываются очень долго, немогу понять почему. Предположительно некоректно работаю корневые зоны. мой конфиг

master
named.conf
cat named.conf
// Red Hat BIND Configuration Tool
// 
// Default initial "Caching Only" name server configuration
//

options {
        listen-on port 53 { 127.0.0.1; 10.1.1.252; xxx.xxx.xxx; };
        listen-on-v6 port 53 { ::1; };
        directory       "/var/named/chroot/var/named";
        dump-file       "/var/named/chroot/var/named/data/cache_dump.db";
        statistics-file "/var/named/chroot/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/chroot/var/named/data/named_mem_stats.txt";
        version "DNS Server";
        allow-query     { any; };
        allow-transfer { 10.1.1.16; yyy.yyy.yyy; };
        notify yes;
        allow-recursion { 127.0.0.1; 10.1.1.0/24; };
        recursion yes;
        notify-source * port 53;
        transfer-source * port 53;

};                                                                                                                                                                      
#                                                                                                                                                                       
view internal {                                                                                                                                                         
   #зоны ресолвятся для клиентов сетей 10.1.1.0/24 и локалхоста                                                                                                         
   match-clients { 127.0.0.1; 10.1.1.0/24; };

zone 
......

view external {
   #Для всех остальных сетей и IP которые явно не указаны в предыдущих view
   match-clients { any; };

zone 
.......
zone "." IN {
        type hint;
        file "named.root";
};

zone "localdomain." IN {
        type master;
        file "localdomain.zone";
        allow-update { none; };
};

zone "localhost." IN {
        type master;
        file "localhost.zone";
        allow-update { none; };
};

zone "0.0.127.in-addr.arpa." IN {
        type master;
        file "named.local";
        allow-update { none; };
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa." IN {
        type master;
        file "named.ip6.local";
        allow-update { none; };
};

zone "255.in-addr.arpa." IN {
        type master;
        file "named.broadcast";
        allow-update { none; };
};

zone "0.in-addr.arpa." IN {
        type master;
        file "named.zero";
        allow-update { none; };
};

include "/etc/rndc.key";

slave
named.conf
cat named.conf
// named.rfc1912.zones:
//
// Provided by Red Hat caching-nameserver package 
//
// ISC BIND named zone configuration for zones recommended by
// RFC 1912 section 4.1 : localhost TLDs and address zones
// 
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
options {                                                                                                                       
        listen-on port 53 { 127.0.0.1; 10.1.1.16; 192.168.0.99; };                                                           
        listen-on-v6 port 53 { none; };
        directory       "/var/named/chroot/var/named";                                                                          
        dump-file       "/var/named/chroot/var/named/data/cache_dump.db";                                                       
        statistics-file "/var/named/chroot/var/named/data/named_stats.txt";                                                     
        memstatistics-file "/var/named/chroot/var/named/data/named_mem_stats.txt";                                              
        version "DNS Server";
        allow-query     { any; };
        allow-notify { 10.1.1.252; xxx.xxx.xxx; };
        allow-recursion { 127.0.0.1; 10.1.1.0/24; };
        recursion yes;                                                                                                          
        /*                                                                                                                      
         * If there is a firewall between you and nameservers you want                                                          
         * to talk to, you might need to uncomment the query-source                                                             
         * directive below.  Previous versions of BIND always asked                                                             
         * questions using port 53, but BIND 8.1 uses an unprivileged                                                           
         * port by default.                                                                                                     
         */                                                                                                                     
};
        logging {
        channel systemlog {
                file "/var/named/chroot/var/log/named.log";
                severity debug;
                print-time yes;
        };
        channel audit_log {
                file "/var/named/chroot/var/log/security.log";
                severity debug;
                print-time yes;
        };
        channel xfer_log {
                file "/var/named/chroot/var/log/xfer.log";
                severity debug;
                print-time yes;
        };
        category default { systemlog; };
        category security { audit_log; systemlog; };
        category config { systemlog; };
        category xfer-in { xfer_log; };
        category xfer-out { xfer_log; };
        category notify { audit_log; };
        category update { audit_log; };
        category queries { audit_log; };
        category lame-servers { audit_log; };
};                                          

view internal {
   #зоны ресолвятся для клиентов сетей 10.1.1.0/24 и локалхоста
   match-clients { 127.0.0.1; 10.1.1.0/24; };
// required zone for recursive queries

zone 
........


view external {
   #Для всех остальных сетей и IP которые явно не указаны в предыдущих view
   match-clients { any; };

// required zone for recursive queries

zone 
......
zone "." IN {                                                                                                                                                           
        type hint;                                                                                                                                                      
        file "root.servers";                                                                                                                                              
};                                                                                                                                                                      
                                                                                                                                                                        
zone "localdomain." IN {                                                                                                                                                
        type master;                                                                                                                                                    
        file "localdomain.zone";                                                                                                                                        
        allow-update { none; };                                                                                                                                         
};                                                                                                                                                                      
                                                                                                                                                                        
zone "localhost." IN {                                                                                                                                                  
        type master;                                                                                                                                                    
        file "localhost.zone";                                                                                                                                          
        allow-update { none; };                                                                                                                                         
};
include "/etc/rndc.key";

Вот что выдает на втором сервере команда dig

dig @127.0.0.1 itc.ua

; <<>> DiG 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.4 <<>> @127.0.0.1 itc.ua
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31141
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1

;; QUESTION SECTION:
;itc.ua.                                IN      A

;; ANSWER SECTION:
itc.ua.                 7200    IN      A       77.222.150.27

;; AUTHORITY SECTION:
itc.ua.                 72070   IN      NS      ns.elvisti.kiev.ua.
itc.ua.                 72070   IN      NS      ns2.elvisti.kiev.ua.

;; ADDITIONAL SECTION:
ns.elvisti.kiev.ua.     7200    IN      A       195.64.225.197

;; Query time: 3434 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Oct  8 11:16:31 2012
;; MSG SIZE  rcvd: 104

вот что на первом

dig @127.0.0.1 itc.ua

; <<>> DiG 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.4 <<>> @127.0.0.1 itc.ua
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34567
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;itc.ua.                                IN      A

;; ANSWER SECTION:
itc.ua.                 415     IN      A       77.222.150.27

;; AUTHORITY SECTION:
itc.ua.                 65287   IN      NS      ns.elvisti.kiev.ua.
itc.ua.                 65287   IN      NS      ns2.elvisti.kiev.ua.

;; ADDITIONAL SECTION:
ns.elvisti.kiev.ua.     5106    IN      A       195.64.225.197
ns2.elvisti.kiev.ua.    5106    IN      A       195.64.225.199

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Oct  8 11:16:50 2012                                                                                                                                       
;; MSG SIZE  rcvd: 120

вижу что список ДНС серверов на проблемном меньше чем на втором а в некорорых случаях вообще отсутствует.

Ссылка

←	Samba 4 Release Candidate 2 (RC2)

Балансировка трафика между двумя ISP

→

← 1 2 →

Ответ на: комментарий от anonymous 09.10.12 11:56:48 MSK

все таки я думаю проблема именно с IPv6 на запрос dig вот что пишет в логах, притом что и запись типа А и запись типа АААА запрос идет на IPv6 если я все правильно понял

9-Oct-2012 11:13:41.647 network unreachable resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:49::1#53
09-Oct-2012 11:13:41.648 network unreachable resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:49::1#53
09-Oct-2012 11:13:41.648 network unreachable resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:1b::1#53
09-Oct-2012 11:13:41.648 network unreachable resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1b::1#53
09-Oct-2012 11:13:41.648 network unreachable resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:41::1#53
09-Oct-2012 11:13:41.648 network unreachable resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:41::1#53
09-Oct-2012 11:13:41.648 network unreachable resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:1c::1#53
09-Oct-2012 11:13:41.649 network unreachable resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1c::1#53

mkgeka ★
(09.10.12 12:15:15 MSK) автор топика

Ответ на: комментарий от mkgeka 09.10.12 12:15:15 MSK

сначала поменяй файл корневой зоны

anonymous
(09.10.12 12:20:39 MSK)

Ссылка

Ответ на: комментарий от mkgeka 09.10.12 12:15:15 MSK

осталось понять почему он лезе на IPv6 даже при записях типа А

mkgeka ★
(09.10.12 12:23:08 MSK) автор топика

Ответ на: комментарий от mkgeka 09.10.12 12:23:08 MSK

поменял уже, вытащил с мастера, может можно дефолтный вытащить откуда-то?

mkgeka ★
(09.10.12 12:25:31 MSK) автор топика

Ответ на: комментарий от mkgeka 09.10.12 12:25:31 MSK

поменял уже, вытащил с мастера

и что? все равно тормозит? тогда снова запускай tcpdump и делай запрос к BIND'у

может можно дефолтный вытащить откуда-то?

http://www.internic.net/domain/named.root

anonymous
(09.10.12 12:41:22 MSK)

Ответ на: комментарий от anonymous 09.10.12 12:41:22 MSK

Спасибо вытащил поменял пока бес толку, в логах хорошо видно что он лезет на IPv6.

mkgeka ★
(09.10.12 12:44:26 MSK) автор топика

Ответ на: комментарий от mkgeka 09.10.12 12:44:26 MSK

если ребутнуть bind вот что пишет в логах

network unreachable resolving './NS/IN': 2001:7fd::1#53
09-Oct-2012 11:46:55.330 network unreachable resolving '160.253.224.110.opm.blitzed.org/A/IN': 2001:7fd::1#53
09-Oct-2012 11:46:59.415 network unreachable resolving '160.253.224.110.opm.blitzed.org/A/IN': 2001:500:c::1#53
09-Oct-2012 11:46:59.415 network unreachable resolving '160.253.224.110.opm.blitzed.org/A/IN': 2001:500:f::1#53
09-Oct-2012 11:46:59.415 network unreachable resolving '160.253.224.110.opm.blitzed.org/A/IN': 2001:500:b::1#53
09-Oct-2012 11:46:59.416 network unreachable resolving '160.253.224.110.opm.blitzed.org/A/IN': 2001:500:48::1#53
09-Oct-2012 11:46:59.416 network unreachable resolving '160.253.224.110.opm.blitzed.org/A/IN': 2001:500:40::1#53
09-Oct-2012 11:46:59.416 network unreachable resolving '160.253.224.110.opm.blitzed.org/A/IN': 2001:500:e::1#53

mkgeka ★
(09.10.12 12:46:02 MSK) автор топика

Ответ на: комментарий от mkgeka 09.10.12 12:44:26 MSK

покажи запрос и tcpdump

anonymous
(09.10.12 12:46:08 MSK)

Ссылка

Ответ на: комментарий от mkgeka 09.10.12 12:46:02 MSK

я думаю это и есть причина тормозов

mkgeka ★
(09.10.12 12:46:33 MSK) автор топика

Ответ на: комментарий от mkgeka 09.10.12 12:46:02 MSK

забудь пока про чужие запросы, сосредоточься на своих

anonymous
(09.10.12 12:47:16 MSK)

Ссылка

Ответ на: комментарий от mkgeka 09.10.12 12:46:33 MSK

tcpdump -nn -i any udp port 53 or tcp port 53

запрос dig com @127.0.0.1 ns

11:50:53.245050 IP 127.0.0.1.52226 > 127.0.0.1.53:  60318+ NS? com. (21)
11:50:53.246397 IP 192.168.0.99.11067 > 202.12.27.33.53:  5108 [1au] NS? com. (32)
11:50:53.246517 IP 192.168.0.99.50862 > 202.12.27.33.53:  12385 [1au] NS? . (28)
11:50:55.248944 IP 192.168.0.99.57642 > 192.5.5.241.53:  23021 [1au] NS? . (28)
11:50:55.249018 IP 192.168.0.99.15378 > 192.5.5.241.53:  14242 [1au] NS? com. (32)
11:50:57.250838 IP 192.168.0.99.11583 > 199.7.83.42.53:  12967 [1au] NS? . (28)
11:50:57.251045 IP 192.168.0.99.13788 > 199.7.83.42.53:  42353 [1au] NS? com. (32)
11:50:58.246567 IP 127.0.0.1.52226 > 127.0.0.1.53:  60318+ NS? com. (21)
11:50:59.052818 IP 164.124.101.46.20910 > 192.168.0.99.53:  10741 [1au] A? mail.uss.gov.ua. (44)
11:50:59.053198 IP 192.168.0.99.53 > 164.124.101.46.20910:  10741*- 1/2/3 A 213.156.91.2 (128)
11:50:59.252754 IP 192.168.0.99.62320 > 128.63.2.53.53:  44121 NS? com. (21)
11:50:59.252907 IP 192.168.0.99.25615 > 128.63.2.53.53:  39762 NS? . (17)
11:50:59.422570 IP 128.63.2.53.53 > 192.168.0.99.62320:  44121- 0/13/15 (512)
11:50:59.423927 IP 192.168.0.99.48128 > 192.42.93.30.53:  7559 [1au] NS? com. (32)
11:50:59.424217 IP 128.63.2.53.53 > 192.168.0.99.25615:  39762*- 13/0/15 NS a.root-servers.net.,[|domain]
11:51:01.425624 IP 192.168.0.99.33660 > 192.52.178.30.53:  23115 [1au] NS? com. (32)
11:51:02.791555 IP 205.188.158.206.16190 > 192.168.0.99.53:  9239 [1au] PTR? 38.91.156.213.in-addr.arpa. (55)
11:51:02.791964 IP 192.168.0.99.53 > 205.188.158.206.16190:  9239*- 1/2/3 (161)
11:51:02.855802 IP 64.12.139.81.49315 > 192.168.0.99.53:  36330% [1au] A? ns1.uss.gov.ua. (43)
11:51:02.856256 IP 192.168.0.99.53 > 64.12.139.81.49315:  36330*- 1/2/2 A 213.156.89.250 (107)
11:51:02.857348 IP 205.188.158.207.36454 > 192.168.0.99.53:  45285 [1au] A? 213.156.91.38.uss.gov.ua. (53)
11:51:02.857572 IP 192.168.0.99.53 > 205.188.158.207.36454:  45285 NXDomain*- 0/1/1 (98)
11:51:02.980501 IP 64.12.139.81.65302 > 192.168.0.99.53:  60950 [1au] PTR? 38.91.156.213.in-addr.arpa. (55)
11:51:02.980745 IP 192.168.0.99.53 > 64.12.139.81.65302:  60950*- 1/2/3 (161)
11:51:03.248399 IP 127.0.0.1.52226 > 127.0.0.1.53:  60318+ NS? com. (21)
11:51:03.427559 IP 192.168.0.99.7599 > 192.35.51.30.53:  22275 [1au] NS? com. (32)

mkgeka ★
(09.10.12 12:50:24 MSK) автор топика

Ответ на: комментарий от mkgeka 09.10.12 12:50:24 MSK

почему-то до тебя не доходят ответы от следующих корневых NS-серверов: 202.12.27.33, 192.5.5.241, 199.7.83.42 и только когда (через 6 секунд) доходит очередь до 128.63.2.53 — от него приходит ответ;

попробуй выполнить

$ dig com @srv ns

где вместо 'srv' указывай последовательно первые три ip-адреса, ну и четвертый потом для сравнения; снимай при этом дамп сети; если запросы dig'ом тоже будут тормозить, то смотри свою сеть, где режутся соответствующие пакеты; если тормозить не будет, то выкладывай сюда результат tcpdump'a вместе с запросом

anonymous
(09.10.12 13:05:00 MSK)

Ссылка

Ответ на: комментарий от mkgeka 09.10.12 12:44:26 MSK

а отключить ipv6 через /proc на слейве? он ведь там всё равно не используется?

aol ★★★★★
(09.10.12 13:18:59 MSK)

Ссылка

Ответ на: комментарий от anonymous 09.10.12 11:56:48 MSK

проверил все три сервера как Вы сказали, все нормально работает тормозов нету.

tcpdump -nn -i any udp port 53 or tcp port 53
tcpdump: WARNING: Promiscuous mode not supported on the "any" device
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
12:41:31.355866 IP 10.1.1.16.53 > 10.1.1.4.58286:  63715 ServFail 0/0/0 (52)
12:41:31.355934 IP 10.1.1.16.53 > 10.1.1.4.51593:  63715 ServFail 0/0/0 (52)
12:41:32.394880 IP 216.183.117.87.46460 > 192.168.0.99.53:  32714% [1au] A? ns1.uss.gov.ua. (43)
12:41:32.395081 IP 216.183.117.87.25816 > 192.168.0.99.53:  28044% [1au] A? ns2.uss.gov.ua. (43)
12:41:32.395305 IP 192.168.0.99.53 > 216.183.117.87.46460:  32714*- 1/2/2 A 213.156.89.250 (107)
12:41:32.395396 IP 192.168.0.99.53 > 216.183.117.87.25816:  28044*- 1/2/2 A 213.156.91.1 (107)
12:41:32.460385 IP 10.1.1.4.45534 > 10.1.1.16.53:  9621+ A? 133.64.215.176.opm.blitzed.org. (48)
12:41:32.461018 IP 192.168.0.99.43515 > 77.75.111.23.53:  35670 [1au] A? 133.64.215.176.opm.blitzed.org. (59)
12:41:37.345371 IP 213.179.249.132.44442 > 192.168.0.99.53:  1853 [1au] PTR? 24.91.156.213.in-addr.arpa. (55)
12:41:37.345788 IP 192.168.0.99.53 > 213.179.249.132.44442:  1853*- 1/2/3 (157)
12:41:38.456660 IP 192.168.0.99.42975 > 192.0.2.10.53:  63174 A? 8.249.200.41.dynablock.njabl.org. (50)
12:41:40.452578 IP 10.1.1.16.53 > 10.1.1.4.38587:  37848 ServFail 0/0/0 (50)
12:41:40.452631 IP 10.1.1.16.53 > 10.1.1.4.60897:  37848 ServFail 0/0/0 (50)
12:41:41.729932 IP 10.1.1.4.56929 > 10.1.1.16.53:  9621+ A? 133.64.215.176.opm.blitzed.org. (48)
12:41:43.689978 IP 192.168.0.99.39023 > 192.5.5.241.53:  31216+ A? ru. (20)
12:41:43.694016 IP 192.5.5.241.53 > 192.168.0.99.39023:  31216- 0/5/10 (332)
12:41:50.963482 IP 10.1.1.4.47745 > 10.1.1.16.53:  22351+ A? 133.64.215.176.dynablock.njabl.org. (52)
12:41:50.964197 IP 192.168.0.99.4633 > 192.0.2.10.53:  58997 [1au] A? 133.64.215.176.dynablock.njabl.org. (63)
12:41:52.463210 IP 192.168.0.99.43978 > 77.75.111.23.53:  50898 [1au] A? 133.64.215.176.opm.blitzed.org. (59)
12:41:52.626779 IP 192.168.0.99.40139 > 199.7.83.42.53:  14513+ A? ua. (20)
12:41:52.637440 IP 199.7.83.42.53 > 192.168.0.99.40139:  14513- 0/6/12 (406)
12:41:55.241555 IP 173.194.98.21.34287 > 192.168.0.99.53:  3558 PTR? 38.91.156.213.in-addr.arpa. (44)
12:41:55.242029 IP 192.168.0.99.53 > 173.194.98.21.34287:  3558*- 1/2/2 (150)
12:41:58.996052 IP 10.1.1.4.49228 > 10.1.1.16.53:  22351+ A? 133.64.215.176.dynablock.njabl.org. (52)
12:42:00.967965 IP 192.168.0.99.35844 > 192.0.2.1.53:  6540 [1au] A? 133.64.215.176.dynablock.njabl.org. (63)
12:42:02.462821 IP 10.1.1.16.53 > 10.1.1.4.56929:  9621 ServFail 0/0/0 (48)
12:42:02.462880 IP 10.1.1.16.53 > 10.1.1.4.45534:  9621 ServFail 0/0/0 (48)
12:42:04.298680 IP 10.1.1.253.54961 > 10.1.1.16.53:  8014+% [1au] A? jebena.ananikolic.su. (49)
12:42:04.299316 IP 192.168.0.99.36070 > 91.211.117.146.53:  13796 [1au] A? jebena.ananikolic.su. (49)
12:42:04.301124 IP 192.168.0.99.46929 > 91.211.117.14.53:  62045 [1au] A? jebena.ananikolic.su. (49)
12:42:04.602996 IP 10.1.1.58.1043 > 10.1.1.16.53:  55723+ A? jebena.ananikolic.su. (38)
12:42:04.645525 IP 192.168.0.99.56166 > 202.12.27.33.53:  32630+ A? com. (21)
12:42:04.731202 IP 202.12.27.33.53 > 192.168.0.99.56166:  32630- 0/13/15 (509)
12:42:06.727060 IP 10.1.1.58.1025 > 10.1.1.16.53:  32045+ A? jebena.ananikolic.su. (38)
12:42:07.153060 IP 117.200.20.106.1181 > 192.168.0.99.53:  125+ MX? uss.gov.ua. (28)
12:42:07.153579 IP 192.168.0.99.53 > 117.200.20.106.1181:  125*- 1/2/3 MX mail.uss.gov.ua. 10 (133)

mkgeka ★
(09.10.12 13:41:12 MSK) автор топика

Ответ на: комментарий от mkgeka 09.10.12 13:41:12 MSK

что-то я не вижу здесь запросов ns-записей зоны com

anonymous
(09.10.12 13:50:03 MSK)

Ссылка

Ответ на: комментарий от anonymous 09.10.12 11:56:48 MSK

я делал три разных запроса на ua, com и ru. Сделал tcpdump и выложил. В самом низу com. Главное то что отрабатывает вполне нормально и на ipv6 не лезет.

mkgeka ★
(09.10.12 14:20:33 MSK) автор топика

Ответ на: комментарий от mkgeka 09.10.12 14:20:33 MSK

Нет дело не в IPv6, полностью отключил IPv6, ничего не изменилось кроме того что ошибки больше не сыпятся.

mkgeka ★
(09.10.12 14:52:18 MSK) автор топика

Ответ на: комментарий от mkgeka 09.10.12 14:20:33 MSK

вот твоя проблема: http://www.brandonhutchinson.com/Check_Point_NG_problems_with_EDNS.html только я пока не пойму, что такое Check Point NG (оборудование что ли, или софт какой-то) и какое он имеет отношение к твоей ситуации (возможно, не напрямую, а что-то похожее);

посмотри пока сам

anonymous
(09.10.12 14:56:51 MSK)

Ссылка

Ответ на: комментарий от mkgeka 09.10.12 14:52:18 MSK

Ребята поставил вообще дефолтный конфиг

options {                                                                                                                       
        listen-on port 53 { any; };                                                           
        directory       "/var/named/chroot/var/named";                                                                          
        dump-file       "/var/named/chroot/var/named/data/cache_dump.db";                                                       
        statistics-file "/var/named/chroot/var/named/data/named_stats.txt";                                                     
        memstatistics-file "/var/named/chroot/var/named/data/named_mem_stats.txt";                                              
        allow-query     { any; };                                                              
        recursion yes;                                                                                                          
        /*                                                                                                                      
         * If there is a firewall between you and nameservers you want                                                          
         * to talk to, you might need to uncomment the query-source                                                             
         * directive below.  Previous versions of BIND always asked                                                             
         * questions using port 53, but BIND 8.1 uses an unprivileged                                                           
         * port by default.                                                                                                     
         */                                                                                                                     
         query-source address * port 53;                                                                                      
};                                          






// required zone for recursive queries
zone "." {
        type hint;
        file "root.servers";
};

вообще ничего не изменилось какие еще bind использует файлы?

mkgeka ★
(09.10.12 15:02:00 MSK) автор топика

Ответ на: комментарий от mkgeka 09.10.12 15:02:00 MSK

я имею ввиду что тормоза не пропали

mkgeka ★
(09.10.12 15:02:41 MSK) автор топика

Ответ на: комментарий от mkgeka 09.10.12 15:02:41 MSK

добавь в конфиг такие строки:

server ::/0 { edns no; };
server 0.0.0.0/0 { edns no; };

anonymous
(09.10.12 15:16:34 MSK)

Ответ на: комментарий от anonymous 09.10.12 15:16:34 MSK

это в раздел options???

mkgeka ★
(09.10.12 15:43:19 MSK) автор топика

Ответ на: комментарий от mkgeka 09.10.12 15:43:19 MSK

нет, это прямо в корень

anonymous
(09.10.12 16:51:36 MSK)

Ответ на: комментарий от anonymous 09.10.12 16:51:36 MSK

смог дописать только

server 0.0.0.0 { edns no; };

на / ругается.

server '{' expected near '/'

пока не помогло. Попробую завтра на свежую голову поковырять еще. Все таки хочется добить это дело, малали вдруг на основном такое тоже начнется.

mkgeka ★
(09.10.12 18:28:34 MSK) автор топика

Ответ на: комментарий от mkgeka 09.10.12 18:28:34 MSK

тогда добавь такую строку в options:

edns-udp-size 512;

anonymous
(09.10.12 19:32:25 MSK)

Ответ на: комментарий от anonymous 09.10.12 19:32:25 MSK

Спасибо огромное, работает нормально.

Всем спасибо за помощь:)

mkgeka ★
(10.10.12 11:41:54 MSK) автор топика

Ответ на: комментарий от mkgeka 10.10.12 11:41:54 MSK

не хочешь узнать реальную причину проблемы? :)

anonymous
(10.10.12 13:13:19 MSK)

Ответ на: комментарий от anonymous 10.10.12 13:13:19 MSK

насколько я понял размер пакетов был больше чем 512Кб, верно?

mkgeka ★
(10.10.12 14:02:14 MSK) автор топика

Ответ на: комментарий от mkgeka 10.10.12 14:02:14 MSK

правда насовсем понятно почему на первом такого нету

mkgeka ★
(10.10.12 14:04:20 MSK) автор топика

Ссылка

Ответ на: комментарий от mkgeka 10.10.12 14:02:14 MSK

твой slave DNS-сервер при обработке рекурсивных запросов сначала шлет наружу (в интернет к соответствующим другим dns-серверам) UDP-dns пакеты с дополнительными записями расширения (EDNS), а когда (через 1-2 секунды) несколько таких запросов все еще отстаются без ответа, он начинает слать обычные UDP-dns запросы без расширения, а вот на них ответы приходят сразу;
проблема в том, что где-то между твоим slave DNS-сервером и интернетом стоит какое-то оборудование или софт (где осуществляется NAT-трансляция), который дропает такие UDP-dns пакеты с дополнительными записями расширения (или сами запросы или ответы, которые тоже должны приходить с доп. записями расширения);
твой первичный DNS-сервер выходит в интернет как-то по-другому — во всяком случае там, вероятно, проблем с прохождением edns-пакетов нет, поэтому он работает нормально;
предложенная опция тебе помогла на вторичнике, потому что она ограничивает (или запрещает) использование этого расширения, и сервер сразу посылает обычные запросы;
правильным решением проблемы было бы не оставлять такую настройку, а найти причину фильтрации edns-пакетов на NAT/firewall/..., и устранить ее

anonymous
(10.10.12 14:37:56 MSK)

Ответ на: комментарий от anonymous 10.10.12 14:37:56 MSK

Спасибо

mkgeka ★
(10.10.12 15:02:39 MSK) автор топика

Ссылка

Ответ на: комментарий от mkgeka 10.10.12 14:02:14 MSK

насколько я понял размер пакетов был больше чем 512Кб, верно?

ну, нет, 512 килобайт — это уж слишком...

я и сам про это узнал только пока твой случай разбирал :)

насколько я понял, запросы от твоего сервера были короткие (и сквозь твой файрвол выходили наружу), но содержали информацию о том, что он может принимать и большие пакеты, а отвечающий сервер это увидел, и ответил на запрос таким большим пакетом (>512 байт), который не был пропущен файерволом

anonymous
(10.10.12 15:09:32 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 →

←	Samba 4 Release Candidate 2 (RC2)

Admin

Балансировка трафика между двумя ISP

→

Похожие темы