Периодически не резолвит Bind

[Gloft]

а как ты проверял свой днс

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[maestrow]

и что еще интересно в этот момент он в большинстве все же отдает и принимает

Код: Выделить всё

trafshow -i xl0 -n port 53

показывает что трафик бегает...

[maestrow]

а как ты проверял свой днс

с рабочей машины

Код: Выделить всё

dig @ip_server ya.ru

в моменты не отдачи эта команда не отрабатывает запрос, а выдает

Код: Выделить всё

<<>> DiG 9.5.1-P2 <<>> ya.ru
;; global options:  printcmd
;; connection timed out; no servers could be reached

[Gloft]

а проверял хабы, свичи что между сервером и клиентом
может это он/они начали тупить/подвисать?

[maestrow]

а проверял хабы, свичи что между сервером и клиентом
может это он/они начали тупить/подвисать?

и в эту сторону подумывал, но врядли, прописываю другой DNS сервер, таких задержек не возникает, поэтому маршруты отпадают

[Gloft]

тогда смотри сетевуху на сервере
и выстави режим журналирования бинда повыше
если дело в ПО то в логах ты найдешь ответ

[maestrow]

тогда смотри сетевуху на сервере
и выстави режим журналирования бинда повыше
если дело в ПО то в логах ты найдешь ответ

а не знаешь как режим журналирования бинда?
пока не нашел как расширить логирование

сетевуя тоже уже отпадает
временно ограничил рекурсию всем, оставил только своим. в то же время зоны которые ведутся на нем отдаются всем
и добавил пару опций, наблюдаю пару дней, вроде без пропаданий

Код: Выделить всё

       allow-recursion {

       разрешенные IP; 192.168.0.0/24; localhost;

       };

// -- Opcija, zadayushaja interval ochishenija kesha RR zapisei. (v minutah)

    cleaning-interval 10;

// -- Opcija, zadayushaja interval obnovlenija spiska novyh i udalennyh interfeisov.(v minutah)

    interface-interval 60;

// -- Opcija, zadayushaja interval obnovlenija faila statistiki. (v minutah)
//    statistics-interval 60;

при

Код: Выделить всё

cleaning-interval 60;

пропадания начинались каждый час, поставил 10 мин. значит скорее всего, дело таки в сторону кеша...

и вот вот это иногда проскакивает если процесы глядеть

Код: Выделить всё

ps -aux | grep name
root     113  3.8 74.3 438056 385728  ??  Ss   29Jul09 19672:16.86 named
root   39912  0.0  0.2  1464  864  ??  I    10:52AM   0:00.01 /usr/libexec/named-xfer -z 163.24.194.IN-ADDR.ARPA -f 194.24.163 -C 1 -q -P 1

[Gloft]

а не знаешь как режим журналирования бинда?
пока не нашел как расширить логирование

у тебя версия бинда какая?

[maestrow]

а не знаешь как режим журналирования бинда?
пока не нашел как расширить логирование

у тебя версия бинда какая?

FreeBSD 4.5 BIND 8.2.4

[Enakentiy]

Однозначно нужно обновить bind.

[Gloft]

запуск бинда с уровнем отладки 1

Код: Выделить всё

#named -d 1

если останавливать бинд по какой-либо причине невозможно то можно управлять через программу ndc (для 9 версии используй rndc)

Код: Выделить всё

запуск отладки бинда
#ndc trace 1
остановка отладки бинда
#ndc notrace

логи ищи в /var/named/named.run
выше 1 уровня поднимать думаю не стоит, информации больше разобраться сложнее

[maestrow]

запуск бинда с уровнем отладки 1

Код: Выделить всё

#named -d 1

если останавливать бинд по какой-либо причине невозможно то можно управлять через программу ndc (для 9 версии используй rndc)

Код: Выделить всё

запуск отладки бинда
#ndc trace 1
остановка отладки бинда
#ndc notrace

логи ищи в /var/named/named.run
выше 1 уровня поднимать думаю не стоит, информации больше разобраться сложнее

спасибо, ndc... отрабатывается, но понять что то в named.run сложновато, где там баги

[Gloft]

ты не баги ищи, а попытки бинда обработать запрос
советую сделать так:
- запустить журналирование событий
- сделать запрос с клиента так чтобы он показал ошибку при этом желательно использовать уникальное днс имя (потом проще будет искать события связанные с этим запросос)
- выключить журналированпие

в логах смотри события связанные с тем именем которое ты запрашивал

[maestrow]

ты не баги ищи, а попытки бинда обработать запрос
советую сделать так:
- запустить журналирование событий
- сделать запрос с клиента так чтобы он показал ошибку при этом желательно использовать уникальное днс имя (потом проще будет искать события связанные с этим запросос)
- выключить журналированпие

в логах смотри события связанные с тем именем которое ты запрашивал

понял, спасибо большое, буду ловить этот момент и запускать журналирование, а там уже поглядим...

[kron]

Вообще очень странный конфиг, этот намед для чего используеться? Он судя по конфигу обслуживает тока две зоны, хинт и локал хост, остальное все закоментировано.
Покажи вывод дига или nslookup с локальной тачки при обращении напрямую именно на этот сервер и если тебе надо чтобы он обслуживал зоны domain.com и 0.168.192.in-addr.arpa в качестве слейва снеми с них комент, ну и если это не весь конфиг, то блин поменяй имена зон, но покажи все, а также покажи options. А то из того что ты показал видно только то что у тебя есть хинт, локалхост и сам файл named.conf. Если это все то он поидее у тебя вообще ничего не показывает, и если ты говоришь, что у тебя есть слейв намед, то возможно это он и работает вообще, причем с этим он никак не завязан, нет зон которые бы раздавались этим намедом на него

[Psychotic]

Gloft
директиву forwarders стоит применять в отдельных зонах, указывая в качестве параметров авторитетные серверы для этих зон. в общем случае она без проблем приведет к увеличению времени резолва. т.к. получается на одну итерацию больше, а если ответ слишком большой, то время резолва еще больше увеличивается из-за необходимости устанавливать две tcp-сессии вместо одной.

[Gloft]

Gloft
директиву forwarders стоит применять в отдельных зонах, указывая в качестве параметров авторитетные серверы для этих зон. в общем случае она без проблем приведет к увеличению времени резолва. т.к. получается на одну итерацию больше, а если ответ слишком большой, то время резолва еще больше увеличивается из-за необходимости устанавливать две tcp-сессии вместо одной.

Да согласен, но maestrow насколько я понял необходима резольвить не только те зоны которые ДНС обслуживает, но и все остальные.
Но в любом случае ДНС сервер должен ответить клиенту хоть каким либо ответом.
В любом случае разбор логов ДНС-а должен показать:
1. Получает ли ДНС запросы от клиентов.
2. Как он их обрабатывает.
3. Отвечает ли ДНС клиенту.

[Psychotic]

Да согласен, но maestrow насколько я понял необходима резольвить не только те зоны которые ДНС обслуживает, но и все остальные.
Но в любом случае ДНС сервер должен ответить клиенту хоть каким либо ответом.

для того чтобы резолвить все остальные зоны в форвардерах нет нужды. рекурсивный днс сервер сам все сделает и в общем случае быстрее. единственное, я не помню, 8-й байнд по дефолту позволяет рекурсивные запросы или нужно явно указать recursion yes.

В любом случае разбор логов ДНС-а должен показать:
1. Получает ли ДНС запросы от клиентов.
2. Как он их обрабатывает.
3. Отвечает ли ДНС клиенту.

безусловно. логи - наше все. но конкретно для проверки клиентских запросов я б включил не trace, а querylog, который для этого и предназначен.

ну и если это возможно, обновил бы байнд до 9-ки посвежей. все-таки там и фич побольше, и арм для него свежий, и в рассылке большинство на нем сидит.

[maestrow]

Вообще очень странный конфиг, этот намед для чего используеться? Он судя по конфигу обслуживает тока две зоны, хинт и локал хост, остальное все закоментировано.
Покажи вывод дига или nslookup с локальной тачки при обращении напрямую именно на этот сервер и если тебе надо чтобы он обслуживал зоны domain.com и 0.168.192.in-addr.arpa в качестве слейва снеми с них комент, ну и если это не весь конфиг, то блин поменяй имена зон, но покажи все, а также покажи options. А то из того что ты показал видно только то что у тебя есть хинт, локалхост и сам файл named.conf. Если это все то он поидее у тебя вообще ничего не показывает, и если ты говоришь, что у тебя есть слейв намед, то возможно это он и работает вообще, причем с этим он никак не завязан, нет зон которые бы раздавались этим намедом на него

указан весь конф, по середке идут записи тех зон которые он обслуживает, зачем их вывод, они занимают много места и это 8-ка (может вы по 9-ке сравниваете)
он мастер и многие используют его как первичный ДНС, вот dig & nslookup

Код: Выделить всё

dig mail.ru

; <<>> DiG 9.5.1-P2 <<>> mail.ru
;; global options:  printcmd    
;; Got answer:                  
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36805
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 6, ADDITIONAL: 6

;; QUESTION SECTION:
;mail.ru.                       IN      A

;; ANSWER SECTION:
mail.ru.                770     IN      A       217.69.128.44
mail.ru.                770     IN      A       217.69.128.41
mail.ru.                770     IN      A       217.69.128.42
mail.ru.                770     IN      A       217.69.128.43

;; AUTHORITY SECTION:
mail.ru.                339332  IN      NS      ns4.mail.ru.
mail.ru.                339332  IN      NS      ns5.mail.ru.
mail.ru.                339332  IN      NS      ns3.mail.ru.
mail.ru.                339332  IN      NS      ns1.mail.ru.
mail.ru.                339332  IN      NS      ns2.mail.ru.
mail.ru.                339332  IN      NS      ns.mail.ru.

;; ADDITIONAL SECTION:
ns4.mail.ru.            1091    IN      A       94.100.178.64
ns5.mail.ru.            1094    IN      A       94.100.178.54
ns3.mail.ru.            956     IN      A       94.100.178.66
ns1.mail.ru.            958     IN      A       94.100.179.159
ns2.mail.ru.            956     IN      A       94.100.179.163
ns.mail.ru.             46      IN      A       94.100.178.70

;; Query time: 1 msec
;; SERVER: ip_dns.server#53(ip_dns.server)
;; WHEN: Mon Sep 28 18:47:49 2009
;; MSG SIZE  rcvd: 292

Код: Выделить всё

nslookup mail.ru
Server:         ip_dns.server
Address:        ip_dns.server#53

Non-authoritative answer:
Name:   mail.ru
Address: 217.69.128.44
Name:   mail.ru
Address: 217.69.128.41
Name:   mail.ru
Address: 217.69.128.42
Name:   mail.ru
Address: 217.69.128.43

[maestrow]

Gloft
директиву forwarders стоит применять в отдельных зонах, указывая в качестве параметров авторитетные серверы для этих зон. в общем случае она без проблем приведет к увеличению времени резолва. т.к. получается на одну итерацию больше, а если ответ слишком большой, то время резолва еще больше увеличивается из-за необходимости устанавливать две tcp-сессии вместо одной.

сервер поддерживает рекурсию, но есть некоторые хосты которые он не может отрезолвить, а к forwarders серверу он обратится тогда, когда сам не сможет отрезолвить запрос

[Psychotic]

сервер поддерживает рекурсию, но есть некоторые хосты которые он не может отрезолвить, а к forwarders серверу он обратится тогда, когда сам не сможет отрезолвить запрос

по умолчанию, если есть forwarders, сервер использует режим forward-first, то есть сначала проверяются авторитетные данные и кэш, потом он идет к форвардеру, потом принимается резолвить самостоятельно

http://docs.hp.com/en/32650-90898/apb.html - вот тут описаны некоторые опции 8 байнда
https://lists.isc.org/pipermail/bind-us ... 70502.html - тут позитивное мнение о форвардерах и восьмерке ))

[maestrow]

сервер поддерживает рекурсию, но есть некоторые хосты которые он не может отрезолвить, а к forwarders серверу он обратится тогда, когда сам не сможет отрезолвить запрос

по умолчанию, если есть forwarders, сервер использует режим forward-first, то есть сначала проверяются авторитетные данные и кэш, потом он идет к форвардеру, потом принимается резолвить самостоятельно

да, таки так, что то я был не дочитал, но тем не мения, пропадания стали редкими, а были до раз 7-10 в день, что было уж очень заметно

[maestrow]

Gloft
директиву forwarders стоит применять в отдельных зонах, указывая в качестве параметров авторитетные серверы для этих зон. в общем случае она без проблем приведет к увеличению времени резолва. т.к. получается на одну итерацию больше, а если ответ слишком большой, то время резолва еще больше увеличивается из-за необходимости устанавливать две tcp-сессии вместо одной.

Да согласен, но maestrow насколько я понял необходима резольвить не только те зоны которые ДНС обслуживает, но и все остальные.
Но в любом случае ДНС сервер должен ответить клиенту хоть каким либо ответом.
.

да, именно так