DNS érdekesség

Hálózatok egyéb

Van nálunk egy pár domain név két DNS szerveren (bind), és olyan problémába futottam bele, hogyha az elsődleges szerver leáll valami oknál fogva a domainek szinte "azonnal" megszűnnek (nem megy a levelezés stb.) hiába megy a másodlagos szerver hiba nélkül.
Ez most valami beállítási probléma lehet, vagy én fogok fel rosszul valamit?
Segítségeteket előre is köszönöm!

  • 2462 megtekintés

( uid_16401 | 2009. 12. 03., cs – 12:37 )

"Ez most valami beállítási probléma lehet, vagy én fogok fel rosszul valamit?"

Ez az.

Ha megadnád a domain nevet, akkor megmondanám hogy mit csinál rosszúl. De így, csak annyit mondok: dig és nslookup

pl az egyik: aldocom.hu

de számomra az az érdekes hogy ha megáll az elsődleges lekérdezem egy másik szolgáltató DNS szerverénél a domain-t és már nem oldja fel, holott a másodlagos hibátlanul működik, na meg elvileg a másik szolgáltatónál lévő szerver cache-ben egy darabig benne kéne lennie mint élő domain nem?
____________________
Ha igen akkor miért nem...
Linux 2.6.30-gentoo-r4 i686 Intel(R) Core(TM)2 Duo CPU E6550 @ 2.33GHz GenuineIntel GNU/Linux

"ha megáll az elsődleges ... holott a másodlagos hibátlanul működik"
Géphiba, karbantartás miatt áll meg, vagy elérhetetlenné válik kívülről? Ha az utóbbi, akkor ez rámutat a Domainregisztrációs szabályzat 11.2 pontjának okára:

ns1.nidocom.hu.         86400   IN      A       85.90.166.44
ns2.nidocom.hu.         86400   IN      A       85.90.166.45

"a másik szolgáltatónál lévő szerver cache-ben egy darabig benne kéne lennie"
Nem feltétlen. Ha TTL időn belül szerezte be az adatokat, akkor igen. Ha már kiesett, vagy soha nem is volt bent, akkor nem. Van valami különös oka, hogy egy órás TTL-t használtok?

teljesen mindegy hogy mi miatt áll meg (volt példa az utolsó kettőre). meg az aldocom.hu-n van egy harmadlagos is.
A TTL meg ha jól emlékszem valami RIPE ajánlás miatt ennyi...
A kérdés számomra az, hogyha az elsődleges áll a másodlagos elérhető és hibátlanul megy, akkor miért "szűnik" meg a domain kiszolgálása?
Biztos vagyok amúgy benne, hogy valami kis apróság amit benéztem valami oknál fogva...

____________________
Ha igen akkor miért nem...
Linux 2.6.30-gentoo-r4 i686 Intel(R) Core(TM)2 Duo CPU E6550 @ 2.33GHz GenuineIntel GNU/Linux

"teljesen mindegy hogy mi miatt áll meg"
Nem mindegy. Mivel az IP-k igen közel vannak egymáshoz (vagy netán egy közös internetkapcsolaton függenek), az internethálózati hibák igen nagy eséllyel érintik mindkettőt. Arra szerettem volna utalni, hogy ha internethálózati hiba van, akkor jelen konstrukcióban jó eséllyel nincs más út, mint máshova vinni a másodlagost, mint ahogy a szabályzat elő is írja - pont azért, hogy egy helyi probléma ne okozza az összes autoritatív szerver elérhetetlenségét.

"hogyha az elsődleges áll a másodlagos elérhető és hibátlanul megy, akkor miért "szűnik" meg a domain kiszolgálása?"
Nem szűnhet meg, ha a kettő közül valamelyik ténylegesen elérhető kívülről az adott időben.

"az aldocom.hu-n van egy harmadlagos is."
Nincs. Illetve van, de nem használják, mert nem tud róla senki sem. Ha nem tudatod az ns.nic.hu-val, mint a .hu autoritatív szerverével, hogy ott is van egy, akkor az a .hu felől nem ismert. És ez a névfeloldás normál módja. Az ns.nic.hu jelenleg csak az ns1.nidocom.hu és ns2.nidocom.hu szerverekről tud. Pusztán a zónafile-ba felvenni nem elég, a regisztrátornak is módosítást kell végrehajtania. Erre utalt jakubovics az idézett RegCheck warninggal: "M-PARI -W- [aldocom.hu] NS records inconsistent with parent !!! "

"A TTL meg ha jól emlékszem valami RIPE ajánlás miatt ennyi..."
Ha a RIPE-203-ra gondolsz, akkor ott ez áll:
"4.6. The Minimum TTL Value
To be cache-friendly this value was chosen to be two days, which also follows the stability assumption."

Tehát ha most az Opticon-Digitalnet hálózatban lenne hiba; vagy a 85.90.166.44 és 85.90.166.45 IP egy kapcsolaton van, és ez megszakad, a zóna adatai maximum egy órán belül "eltűnnek". Ezért is kevés az egy óra, a fenti idézet szerint a RIPE ennél lényegesen hosszabb időt ajánl.

Ha a 85.90.166.44 és 85.90.166.45 IP nem egy kapcsolaton van, és legalább az egyik mindig elérhető kívülről; vagy eg kapcsolaton vannak, és az egyiket lekapcsolod, akkor nem szabad megszűnnie a zóna kiszolgálásának.

A RIPE ajánlást a www.domain.hu/domain/regcheck/hibak.html -n talált értékeket állítottam be:

A RIPE ajánlást a RIPE 203-as sorszámú dokumentuma (ld. ftp://ftp.ripe.net/ripe/docs/ripe-203.txt) fogalmazta meg. A dokumentum 1999-ből származik. A mű szerzője - Peter Koch - 2005-ben a következő értékeket tartja ajánlatosnak:

refresh = 86400, # 24 hours
retry = 7200, # 2 hours
expire = 3600000, # 1000 hours
ttl = 3600 # 1 hour
Az ellenőrző procedúra tehát ezeket veszi alapul 2005 szeptemberétől.

nem mai darab, és én csak ezt a magyar részt olvastam...

Az hogy a harmadik nincs benne az a regisztrátor hibája, mivel jeleztük nekik a változást (telefon, e-mail).
Amúgy azt én is tudom hogy ha nem elérhető az első kettő akkor nem megy a domain, de tényleg előfordult már, hogy a másodlagos hibátlanul működött a domain viszont nem.
Végül is mindegy, ne ragozzuk tovább a dolgot, én a biztonság kedvéért kérdeztem rá, hogy van e esetleg még valami amit nem vettem figyelembe.
Köszönöm a hozászolásokat, a TTL értékét akkor pedig növelem ahogy ajánlottátok.

____________________
Ha igen akkor miért nem...
Linux 2.6.30-gentoo-r4 i686 Intel(R) Core(TM)2 Duo CPU E6550 @ 2.33GHz GenuineIntel GNU/Linux

( tlovaszk | 2009. 12. 03., cs – 16:58 )

Érdekes. Most frissítettem SuSE 10.3-ról 11.2-re és minden mást működésre tudtam már bírni de ez a DNS-es dolog tényleg gyanús. Nekem is két DNS szerver van felvéve, ráadásul zónahatáron (Internet/DMZ), és mindkettőben kellene látnia egy-egy DNS-t.

Mondjuk DNS1 az Interneten van, DNS2 meg a DMZ-ben. Legyen két cím, momdjuk a HUP.HU az Internet-en, a MyMachine meg a DMZ-ben.

A DNS sorrend mondjuk DNS1, DNS2

nslookup hup.hu DNS1
rendben visszaadja

nslookup MyMachine DNS2
rendben visszaadja

nslookup hup.hu
rendben visszaadja

nslookup MyMachine
hiba, nem találja, nem is megy a DNS2-höz

---------------

Ha megfordítom a sorrendet, akkor értelemszerűen a két utolsó nslookup eredménye megfordulna, de nem!
nslookup hup.hu
hiba, de keres tovább, és a DNS1-ről rendben magkapja

nslookup MyMachine
rendben megkapja

Akárhogy is van, a FireFox működik mindenképpen, viszont pl. a szoftver-frissítés nem. Az nem várja meg a DNS-szerver váltását, hanem hibát jelez, és nem találja a szoftvereket a második esetben.

(DNS1 a T-System szervere, a DNS2 egy céges Windows 2003 R2 DNS szerver)
SuSE 10.3-ban még jó volt.

TiLK

"A DNS sorrend mondjuk DNS1, DNS2"
"(DNS1 a T-System szervere, a DNS2 egy céges Windows 2003 R2 DNS szerver)"
Az lenne célszerű, ha a DMZ-ben lévő DNS szerver lenne megadva elsődlegesként, másodlagosként pedig a külső. A DMZ-ben lévő szervernek legyen a forwardere a külső. Vagy ami még jobb, ha nem használsz forwardert, hanem a DMZ-ben lévő szerver majd beszerzi az internetről azokat a rekordokat, amelyek olyan zónába tartoznak, ahol az a szerver nem autoritatív. Így ha a belső szervered működőképes, akkor a kliensek csak hozzá fordulnak, és megkapják mind a belső, mind a külső zónáka adatait. Ha ez a szervered valamiért leállna, akkor a kliensek a külső szervertől fognak választ kapni, de természetesen a belső zónák rekorjaira nemleges választ fognak kapni. Vagy félreértettem a kérdést?

Közben találtam a Windows-os DNS-ben egy Root Hints lehetőséget, vagyis ha nem találja saját magán a címet, akkor elirányítja a _klienst_ másfelé (de ez nem DNS forward, mert valójában nem látja és nem cache-li az itt megjelölt dolgokat).

Beállítottam a belső DNS-en a kulsőt Root Hint-ként, és a vizsgált gépen a DNS sorrend szerint a belső az első, a külső a második. Ettől minden megjavult. A két DNS szerver között így továbbra sincs kapcsolat.

TiLK

( andrej_ v | 2009. 12. 04., p – 09:44 )

Véletlenül nem az ns1.sajatdomain.hu és ns2.sajatdomain.hu -t használjátok? Érdemes utána nézni, hogy a root ns-ben is jó IP-k vannak-e.