Nomes dos disparos no DNS BIND levam muito tempo

Navegue suas respostas
2

Tenho o DNS do Bind de instalação A, onde estou tentando colocar uma entrada para resolver o nome abreviado. Isso é resolvido, mas demora muito e, às vezes, o DNS atinge o tempo limite. O nome abreviado é s3.ngsfdellpe

Entradas do named.conf 

options {
    listen-on port 53 { 127.0.0.1;10.209.194.15; };
    listen-on-v6 port 53 { ::1; };
    directory   "/var/named";
    dump-file   "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
    allow-query {any;};
    allow-recursion {any;};
    //recursion no;

    //dnssec-enable yes;
    //dnssec-validation yes;
    //dnssec-lookaside auto;

    /* Path to ISC DLV key */
    bindkeys-file "/etc/named.iscdlv.key";

    managed-keys-directory "/var/named/dynamic";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
    type hint;
    file "named.ca";
};


zone"vxctf8500.com" IN {
type master;
file "forward.vxctf8500.com";
allow-update { none; };
};
zone"106.209.10.in-addr.arpa" IN {
type master;
file "reverse.vxctf8500.com";
allow-update { none; };
};

Arquivos de zonas de encaminhamento :: 

$TTL 1D
@   IN SOA ns1.vxctf8500.com. root.vxctf8500.com. (
                    0   ; serial
                    1D  ; refresh
                    1H  ; retry
                    1W  ; expire
                    3H )    ; minimum

       IN NS       vxctf8500.com.
       IN A     10.209.194.15



ns1   IN A 10.209.194.15

s3.ngsfdellpe   IN  A   10.209.106.59
s3.ngsfdellpe   IN  A   10.209.106.53
s3.ngsfdellpe   IN  A   10.209.106.54
s3.ngsfdellpe   IN  A   10.209.106.55
s3.ngsfdellpe   IN  A   10.209.106.56

Arquivos de zona reversa :: 

$TTL 1D
@   IN SOA  ns1.vxctf8500.com. root.vxctf8500.com. (
                    0   ; serial
                    1D  ; refresh
                    1H  ; retry
                    1W  ; expire
                    3H )    ; minimum


                        IN NS   vxctf8500.com.
15                      IN PTR      ns1.vxctf8500.com.



59       IN PTR      s3.ngsfdellpe.
53       IN PTR      s3.ngsfdellpe.
54       IN PTR      s3.ngsfdellpe.
55       IN PTR      s3.ngsfdellpe.
56       IN PTR      s3.ngsfdellpe.
    
por Amit 24.03.2016 / 21:22

2 respostas

3

Você pode dar um exemplo (command / ouput) de como você está tentando resolver o nome, bem como o conteúdo de /etc/resolv.conf na máquina em que está testando isso.

O ponto à direita no arquivo de zona reversa indica que o nome do LHS é um FQDN, mas na verdade não é, portanto, as entradas inversas devem ter a seguinte aparência:

59 IN PTR s3.ngsfdellpe.vxctf8500.com.

Resolver "nome abreviado" não tem nada a ver com o modo como você configura o DNS autoritativo é apenas para o cliente (por exemplo, search ou domain diretiva em /etc/resolv.conf no linux) como lidar com isso e anexar o sufixo para o nome antes de fazer a pesquisa de DNS real.

    
por 24.03.2016 / 21:54
1

Como powo declarou em sua resposta, é mais do que provável que seja um artefato de sua configuração /etc/resolv.conf . A regra geral é que quanto mais domínios de pesquisa você tiver, mais pesquisas de DNS levarão para falhar quando os servidores estiverem inacessíveis.

Assumindo o módulo nss_dns na glibc, a fórmula para o tempo máximo de falha em uma pesquisa que não termina em . será algo como isto:

(w + 1) xyz

  • w é o número de search domains definidos. É impossível ficar abaixo de 1, a menos que o FQDN do servidor não tenha nenhum componente de domínio. (ou você define o equivalente, domain . )
  • x é timeout:x (padrão de 5), conforme definido em /etc/resolv.conf .
  • y é attempts:y (padrão de 2), conforme definido em /etc/resolv.conf .
  • z é o número de nameserver entradas em /etc/resolv.conf que não estão respondendo no momento da pesquisa de DNS. Somente as três primeiras entradas são honradas, portanto, esse é sempre um número entre 0 e 3.

A solução preferida é garantir que seus servidores DNS sempre respondam, usando um balanceador de carga, se necessário. Em cenários em que isso não é possível, deve-se observar que o número de domínios de pesquisa ( x ) tem um impacto exponencial no tempo que suas pesquisas de DNS demoram a falhar.

(Sim, ndots terá uma influência sobre isso também, mas isso está ficando pedante.)

    
por 24.03.2016 / 22:50

Tags

Como listar informações básicas sobre discos (cilindros, cabeças, setores, tamanho de setor) no Windows 7 e 10 SSL da AWS vs Comodo (ou outro) [fechado]