Доброго времени суток!
Есть DNS, поднятый на Debian 5, bind 9.6 (собствено проблема была и с 9.5.1)
вот, в принципе DNS работает нормально, но есть некоторые ресурсы, имена которых этот мой DNS не "хочет" резолвить.... выдает сообщение:
;; connection timed out; no servers could be reached
time out обращения точно не к моему DNS'у(скорее это он, DNS, не может обратиться к какому-то серверу верхнего уровня и отваливается по таймауту) потому, что тут же запрашиваешь:
nslookup yandex.ru тут же отвечает...
рестартанешь его, после этого начинает отвечать, правда некоторое время... после какого-то времени(точно не могу сказать) опять перестает отвечать...
вот собственно вопрос, что это может быть??? в каком направлении копать???
создается впечатление, что он закешировал этот адрес а потом "забыл" об этом... :)
игрался со временем хранения в кеше отрицательных и положительных ответов, разницы не заметил...
да, есть еще вторичный DNS(9.4.2) поднятый на Fedore, такая же самая ситуация... вот тут и возникают вопросы, может это DNS ресурса проблемный? но почему мои DNS'ы начинают резолвить после рестарта... тогда настройки на обоих одинаковые и возможно с какими-то погрешностями... хотя с другой стороны, таких проблемных ресурсов обнаружилось штуки три, за достаточно продолжительное время работы моих DNS'ов.
Подскажите умную мыслю!!! :)
Заранее благодарен!
P.S.
если нужны будут конфиги то выложу...
телепаты на югах все
жди осени
>телепаты на югах все
>жди осениЭто проблемные зоны.
В момент их опроса небыли доступны. После рестарта вашего же ДНС кеш чистится и зоны доступны.
Вот пример проблемной зоны - http://www.intodns.com/elcom.by
>>телепаты на югах все
>>жди осени
>
>Это проблемные зоны.
>В момент их опроса небыли доступны. После рестарта вашего же ДНС кеш
>чистится и зоны доступны.
>Вот пример проблемной зоны - http://www.intodns.com/elcom.byпогодите
вроде как кешатся положительные ответы и отрицательные - отрицательный это когда мастер (зоны)ответил что записи нет
ошибки то разве кешатся??
>[оверквотинг удален]
>>
>>Это проблемные зоны.
>>В момент их опроса небыли доступны. После рестарта вашего же ДНС кеш
>>чистится и зоны доступны.
>>Вот пример проблемной зоны - http://www.intodns.com/elcom.by
>
>погодите
>вроде как кешатся положительные ответы и отрицательные - отрицательный это когда мастер
>(зоны)ответил что записи нет
>ошибки то разве кешатся??А если NS-ы домена не доступны? Или в верхней зоне указаны не те NS-ы.
Кешируется ответ NXDOMAIN.
>[оверквотинг удален]
>>>Вот пример проблемной зоны - http://www.intodns.com/elcom.by
>>
>>погодите
>>вроде как кешатся положительные ответы и отрицательные - отрицательный это когда мастер
>>(зоны)ответил что записи нет
>>ошибки то разве кешатся??
>
>А если NS-ы домена не доступны? Или в верхней зоне указаны не
>те NS-ы.
>Кешируется ответ NXDOMAIN.какой смысл повторять мои слова? я постом выше тоже самое сказал
>[оверквотинг удален]
>>
>>Это проблемные зоны.
>>В момент их опроса небыли доступны. После рестарта вашего же ДНС кеш
>>чистится и зоны доступны.
>>Вот пример проблемной зоны - http://www.intodns.com/elcom.by
>
>погодите
>вроде как кешатся положительные ответы и отрицательные - отрицательный это когда мастер
>(зоны)ответил что записи нет
>ошибки то разве кешатся??Для клиента нет разницы master или slave.
>>погодите
>>вроде как кешатся положительные ответы и отрицательные - отрицательный это когда мастер
>>(зоны)ответил что записи нет
>>ошибки то разве кешатся??
>
>Для клиента нет разницы master или slave.уважаемый, вы нифига не понимаете о чем я говорю
имелись ввиду авторитативные сервера (их тоже иногда нызывают мастерами, ибо для клиента как вы правильно заметили, это похеру, по тому и говорят просто "мастера") Отношение Master-Slave актуально ТОЛЬКО в контексте репликации зоны и не имеет абсолютно никаково отношения к топу
спасибо что откликнулись!>телепаты на югах все
>жди осенину если читать мой основной пост повнимательнее, я же написал, что если необходим будет конфиг, то я выложу... да и мне важнее был ответ, как бы это сказать, концептуальнее...
ну если телепатов нет, то для парсеров конфигов, привожу... :)
теперь остается указать мне на мои недостатки.... :-D
конфиг достаточно базовый...acl bla-bla { xx.xx.xx.xx/20; xx.xx.xx.xx/19; };
options {
directory "/var/cache/bind";
listen-on port 53 { 127.0.0.1;xx.xx.xx.xx; };auth-nxdomain no; # conform to RFC1035
version "unknown";
hostname "none";allow-query {
any;
};allow-query-cache {
127.0.0.1;
bla-bla;
};recursion yes;
allow-recursion {
127.0.0.1;
bla-bla;
};notify yes;
};logging {
channel default_syslog {
syslog daemon; # send to syslog's daemon facility
severity info; # only send priority info and higher
};channel null {
null;
};category default { default_syslog; };
category lame-servers { null; };
category edns-disabled { null; };
category security { null; };
};не думаю, что мой конфиг даст ответ на мой вопрос... :)
А вот уважаемому Golub Mikhail, спасибо за так сказать, концептуальный ответ и за пример проблемного ресурса, и за интересный сайт по проверке DNS'ов...
>погодите
>вроде как кешатся положительные ответы и отрицательные - отрицательный это когда мастер >(зоны)ответил что записи нет
>ошибки то разве кешатся??так вот сосбтвено где-то здесь собака и порылась!!!!!
почему сервер после рестарта отвечает, а потом перестает???... хорошо, устарел кэш, так он по идее должен его обновить при очередном запросе, но он не может, как я уже писал в первом посте выдает:
;; connection timed out; no servers could be reached
почему??? если эти зоны не были доступны в этот момент, то почему они вдруг становяться доступными после рестарта??? опять таки, как я уже писал в первом посте пытался играться с max-cache-ttl и max-ncache-ttl результат нулевой, значит что-то еще...
какие-нибудь еще предложения????
>[оверквотинг удален]
>почему сервер после рестарта отвечает, а потом перестает???... хорошо, устарел
>кэш, так он по идее должен его обновить при очередном запросе,
>но он не может, как я уже писал в первом посте
>выдает:
>;; connection timed out; no servers could be reached
>почему??? если эти зоны не были доступны в этот момент, то
>почему они вдруг становяться доступными после рестарта??? опять таки, как
>я уже писал в первом посте пытался играться с max-cache-ttl и
>max-ncache-ttl результат нулевой, значит что-то еще...
>какие-нибудь еще предложения????По приведенному вчера домену я как раз и добивался, чтобы в кеш "осел" правильный результат.
Добивался путем:
rndc flushname ...
И потом проверкой, что же в кеше. И так чистил несколько раз, пока не получил результат.
А потом связались с владельцами домена, чтобы они исправили. Но еще не исправили ошибок.
приведите уже КОНКРЕТНЫЕ примеры проблемных зон
также cat /etc/resolv.conf на самом серваке
>По приведенному вчера домену я как раз и добивался, чтобы в кеш
>"осел" правильный результат.
>Добивался путем:
>rndc flushname ...
>И потом проверкой, что же в кеше. И так чистил несколько раз,
>пока не получил результат.
>А потом связались с владельцами домена, чтобы они исправили. Но еще не
>исправили ошибок.Вобще-то, что-то страное твориться... либо какие-то проблемы на маршруте до того DNS'а который держит проблемную зону, то ли он(DNS) у них настроен криво... я уже думаю, что зря наговариваю на свой DNS... :)
за последние пол часа заотвечал еще один проблемный сервер, а за последние 2 минуты мои запросы:nslookup networkedmediatank.com
Server: xx.xx.xx.xx
Address: xx.xx.xx.xx#53Non-authoritative answer:
Name: networkedmediatank.com
Address: 78.46.108.209nslookup networkedmediatank.com
;; connection timed out; no servers could be reachednslookup networkedmediatank.com
Server: xx.xx.xx.xx
Address: xx.xx.xx.xx#53Non-authoritative answer:
Name: networkedmediatank.com
Address: 78.46.108.209
nslookup networkedmediatank.com
Server: xx.xx.xx.xx
Address: xx.xx.xx.xx#53Non-authoritative answer:
Name: networkedmediatank.com
Address: 78.46.108.209ерунда какая-то!!!
да, кстати один из моих проблемных ресурсов networkedmediatank.com :)
все прекрасно работает> server NS51.DOMAINCONTROL.COM
Default server: NS51.DOMAINCONTROL.COM
Address: 216.69.185.26#53
> networkedmediatank.comServer: NS51.DOMAINCONTROL.COM
Address: 216.69.185.26#53Name: networkedmediatank.com
Address: 78.46.108.209
> server NS52.DOMAINCONTROL.COMDefault server: NS52.DOMAINCONTROL.COM
Address: 208.109.255.26#53
> networkedmediatank.comServer: NS52.DOMAINCONTROL.COM
Address: 208.109.255.26#53Name: networkedmediatank.com
Address: 78.46.108.209
>а вот то что вы пишите - явно какойто бред, причем полный
nslookup networkedmediatank.com
Server: xx.xx.xx.xx
Address: xx.xx.xx.xx#53Non-authoritative answer:
Name: networkedmediatank.com
Address: 78.46.108.209nslookup networkedmediatank.com
;; connection timed out; no servers could be reachedстрока Non-authoritative answer:
говорит о том, что запись взята ИЗ КЕША сервера, у которого вы спращиваетеесли вторая попытка обращения делается к ТОМУ ЖЕ серваку - значит ищите проблемы между клиентом(nslookup) и серваком
>[оверквотинг удален]
>
>nslookup networkedmediatank.com
>;; connection timed out; no servers could be reached
>
>строка Non-authoritative answer:
>говорит о том, что запись взята ИЗ КЕША сервера, у которого вы
>спращиваете
>
>если вторая попытка обращения делается к ТОМУ ЖЕ серваку - значит ищите
>проблемы между клиентом(nslookup) и сервакомДа, что-то странно, а что - пока не понял.
ТАК ВСЕ ОК:
dig networkedmediatank.com +trace any; <<>> DiG 9.4-ESV-R2 <<>> networkedmediatank.com +trace any
;; global options: printcmd
. 305327 IN NS i.root-servers.net.
. 305327 IN NS l.root-servers.net.
. 305327 IN NS e.root-servers.net.
. 305327 IN NS d.root-servers.net.
. 305327 IN NS c.root-servers.net.
. 305327 IN NS f.root-servers.net.
. 305327 IN NS b.root-servers.net.
. 305327 IN NS a.root-servers.net.
. 305327 IN NS m.root-servers.net.
. 305327 IN NS g.root-servers.net.
. 305327 IN NS h.root-servers.net.
. 305327 IN NS j.root-servers.net.
. 305327 IN NS k.root-servers.net.
;; Received 336 bytes from 127.0.0.1#53(127.0.0.1) in 0 mscom. 172800 IN NS a.gtld-servers.net.
com. 172800 IN NS b.gtld-servers.net.
com. 172800 IN NS c.gtld-servers.net.
com. 172800 IN NS d.gtld-servers.net.
com. 172800 IN NS e.gtld-servers.net.
com. 172800 IN NS f.gtld-servers.net.
com. 172800 IN NS g.gtld-servers.net.
com. 172800 IN NS h.gtld-servers.net.
com. 172800 IN NS i.gtld-servers.net.
com. 172800 IN NS j.gtld-servers.net.
com. 172800 IN NS k.gtld-servers.net.
com. 172800 IN NS l.gtld-servers.net.
com. 172800 IN NS m.gtld-servers.net.
;; Received 503 bytes from 128.63.2.53#53(h.root-servers.net) in 221 msnetworkedmediatank.com. 172800 IN NS ns51.domaincontrol.com.
networkedmediatank.com. 172800 IN NS ns52.domaincontrol.com.
;; Received 124 bytes from 192.35.51.30#53(f.gtld-servers.net) in 191 msnetworkedmediatank.com. 86400 IN SOA NS51.DOMAINCONTROL.COM. dns.jomax.net. 2007071600 28800 7200 604800 86400
networkedmediatank.com. 3600 IN MX 0 smtp.networkedmediatank.com.
networkedmediatank.com. 3600 IN A 78.46.108.209
networkedmediatank.com. 3600 IN NS ns51.domaincontrol.com.
networkedmediatank.com. 3600 IN NS ns52.domaincontrol.com.
networkedmediatank.com. 3600 IN MX 10 smtp.secureserver.net.
networkedmediatank.com. 3600 IN MX 20 mailstore1.secureserver.net.
;; Received 275 bytes from 208.109.255.26#53(ns52.domaincontrol.com) in 44 msА ТАК - НЕТ (с одного и того же хоста):
dig networkedmediatank.com any; <<>> DiG 9.4-ESV-R2 <<>> networkedmediatank.com any
;; global options: printcmd
;; connection timed out; no servers could be reachedЕсть другой ДНС за ASA - такая же картина.
С других хостов (не за ASA) - все резолвится без проблем. Вот поэтому про ASA и спросил.
Но не уверен, что в ней дело.
у вас явно тараканы на стыке гдето (шлюз, фаревол и тд)
>[оверквотинг удален]
>nslookup networkedmediatank.com
>Server: xx.xx.xx.xx
>Address: xx.xx.xx.xx#53
>
>Non-authoritative answer:
>Name: networkedmediatank.com
>Address: 78.46.108.209
>
>ерунда какая-то!!!
>да, кстати один из моих проблемных ресурсов networkedmediatank.com :)Ради интереса - Cisco ASA с инспекцией ДНС не используется?
>Ради интереса - Cisco ASA с инспекцией ДНС не используется?Нет, ASA вообще не используется...
>а вот то что вы пишите - явно какойто бред, причем полный
эх, откуда такие советчики беруться?!?!!?!?
вы случайно мои сообщения не методом скорочтения читаете??? или через слово???а что пишите вы???
>> server NS51.DOMAINCONTROL.COM
>Default server: NS51.DOMAINCONTROL.COM
>Address: 216.69.185.26#53
>> networkedmediatank.com
>Server: NS51.DOMAINCONTROL.COM
>Address: 216.69.185.26#53
>Name: networkedmediatank.com
>Address: 78.46.108.209и что вы хотите этим показать??? то что вы делаете запрос держателю этой зоны и он вам отвечает??? ну я могу сделать тоже самое:
nslookup networkedmediatank.com NS51.DOMAINCONTROL.COM
Server: NS51.DOMAINCONTROL.COM
Address: 216.69.185.26#53Name: networkedmediatank.com
Address: 78.46.108.209И ЧТО ИЗ ЭТОГО????? а то что я написал, что вы назвали полным бредом, это мой запрос к МОЕМУ ДНС'у!!! потому что я и все мои клиенты обращаются к МОЕМУ ДНСУ!!!! и ОН должен отвечать на запросы, а не держатель зоны!!!! и мой ДНС отвечает через раз. Это понятно???? и вопрос собствено в этом и состоял, что может быть не так, почему МОЙ ДНС переодически не может получить этот ответ от держателя зоны???
>строка Non-authoritative answer:
>говорит о том, что запись взята ИЗ КЕША сервера, у которого вы спращиваетеда ну?!?!?!? не может быть?!?!?!... 8-О ;-)
>если вторая попытка обращения делается к ТОМУ ЖЕ серваку - значит ищите проблемы между клиентом(nslookup) и серваком
а если я это делаю из консоли сервера на котором поднят ДНС???
предвидя уже задаваемый вопрос:cat /etc/resolv.conf
search мойдомен.ru
nameserver 127.0.0.1
nameserver xx.xx.xx.xx
nameserver xx.xx.xx.xxдабы вас не смущали xx это айпишники моих днсов... ну так на всякий случай... :)
вместо того, чтобы писать "модные" слова про "телепатов" лучше читать посты и думать, что в них пишут. Если на это нет времени или желания, то лучше не навязываться в помошники...
я понимаю, что на фоуме много полных нубов, но есть и не полные... :)Отдельное спасибо Golub Mikhail!!!
Собствено вы отчасти подтвердили мои подозрения. Это скорее всего проблемы на маршруте к ДНС'у, держателю зоны либо сам держатель зоны так отвечает. Вот тут правда вся странность и есть, делаю кучу запросов непосредствено к их ДНС'у, держателю зоны он на все отвечает... а через свой ДНС, раз - через десять раз... :) может правда провайдер верхнего уровня что-то фильтрует или криво фильтрует... :)
тут позавчера vkontakte перестали отвечать... почти такая же картина, сначала днс перестал резолвить, затем трасы не проходят... клиенты чуть крышу не сняли... :) интересно, что через мобильных операторов ресурс был доступен без проблем... оказалось, что у провайдера верхнего уровня были проблемы на каком-то сегменте сети или с какой-то железкой, или с чьими-то руками... правду все равно не скажут.... :)
вобщем, я думаю, тему можно закрывать...
>>Ради интереса - Cisco ASA с инспекцией ДНС не используется?
>
>Нет, ASA вообще не используется...
>...
>чьими-то руками... правду все равно не скажут.... :)
>вобщем, я думаю, тему можно закрывать...Оказалось все просто до не могу ...
Надо обновить named.rootwget ftp://FTP.INTERNIC.NET/domain/named.root
во превых не надо нервничать и изрыгать тонны слюны на монитор.>[оверквотинг удален]
>
>Name: networkedmediatank.com
>Address: 78.46.108.209
>И ЧТО ИЗ ЭТОГО????? а то что я написал, что вы назвали
>полным бредом, это мой запрос к МОЕМУ ДНС'у!!! потому что я
>и все мои клиенты обращаются к МОЕМУ ДНСУ!!!! и ОН должен
>отвечать на запросы, а не держатель зоны!!!! и мой ДНС отвечает
>через раз. Это понятно???? и вопрос собствено в этом и состоял,
>что может быть не так, почему МОЙ ДНС переодически не может
>получить этот ответ от держателя зоны???это понятно - я это собстна и писал, но вы видимо не удосужилисть прочитать
это сделано для того чтобы убедиться что целевая зона нормальной отдается авторитативниками, что собстно и было сделано первым пунктом - логика думаю ясна?
>>строка Non-authoritative answer:
>>говорит о том, что запись взята ИЗ КЕША сервера, у которого вы спращиваете
>
>да ну?!?!?!? не может быть?!?!?!... 8-О ;-)
>
>>если вторая попытка обращения делается к ТОМУ ЖЕ серваку - значит ищите проблемы между клиентом(nslookup) и серваком
>
>а если я это делаю из консоли сервера на котором поднят ДНС???вот если ты делаешь ДВА, ОДИТНАКОВЫХ, ПОСЛЕДОВАТЕЛЬНЫХ запроса на свой сервак, то данный ответ полная ху*та.
Такого быть не может, если только в промежутке не был сделан `rndc flush` или `rndc stop`, но вы весь такой грамотный да слюнобрызгабщий не удосужелись пояснить в какой последовательности и как вы делали запрос (поэтому я взял на себя ронь телепата и рискнул предположить), а это между прочим ключевое значение имеет. Логика думаю тоже ясна?
>[оверквотинг удален]
>nameserver xx.xx.xx.xx
>nameserver xx.xx.xx.xx
>
>дабы вас не смущали xx это айпишники моих днсов... ну так
>на всякий случай... :)
>вместо того, чтобы писать "модные" слова про "телепатов" лучше читать посты и
>думать, что в них пишут. Если на это нет времени или
>желания, то лучше не навязываться в помошники...
>я понимаю, что на фоуме много полных нубов, но есть и не
>полные... :)воинствующих слюноразбрызгивателей вроде тебя не много
тебе пытаются помочь, а ты еще понты гнешь - школоты понторылой развелось, элементарный вопрос не могут решить, где логи взять вообще не знают. Кстати из дебаг-лога ты бы за 5 минут понял что происходит, но нет - проще написать на опен (кстати, вопросы в школе не научили задавать как я погляжу?, да и правила форума школоте не писаны).
>[оверквотинг удален]
>их ДНС'у, держателю зоны он на все отвечает... а через
>свой ДНС, раз - через десять раз... :) может правда
>провайдер верхнего уровня что-то фильтрует или криво фильтрует... :)
>тут позавчера vkontakte перестали отвечать... почти такая же картина, сначала днс
>перестал резолвить, затем трасы не проходят... клиенты чуть крышу не
>сняли... :) интересно, что через мобильных операторов ресурс был доступен
>без проблем... оказалось, что у провайдера верхнего уровня были
>проблемы на каком-то сегменте сети или с какой-то железкой, или с
>чьими-то руками... правду все равно не скажут.... :)
>вобщем, я думаю, тему можно закрывать...