classic.ISPforum.cz

Co prosim pouzivate na svych sitich jako DNS server? Ja aktualne BINDa (na debianu), ale uvazuju, zda neni na cachovani neco "rychlejsiho". Mate zkusenosti s necim jinym, popr. porovnani BIND x ....... Dekuju.

Na rekurzivní DNS server ("cache") doporučuju Unbound, má jednoduchou konfiguraci, zvládá i opravdu velkou zátěž a funguje skvěle. Využívám doma i ve firmě

zajdee píše:Na rekurzivní DNS server ("cache") doporučuju Unbound, má jednoduchou konfiguraci, zvládá i opravdu velkou zátěž a funguje skvěle. Využívám doma i ve firmě

Dekuju. Rozhodl jsem se to srovnat - cista instalace debianu (bind9 x unbound). Vzdy muze fungovat pouze jeden (port 53). Zkousim to z prace, kde vyuzivam sitovy DNS server (jsem od nej cca 10 ms). U toho unboundu znatelne rychleji nabihaji stranky, takze zatim spokojenost . Vsimnul jsem si ze jde u nej nastavit i zaznamy pro domenu. Je to tak?

V mikrotiku je co za DNS servr ? Bind či něco jiného ?

shooter píše:V mikrotiku je co za DNS servr ? Bind či něco jiného ?

To popravde nevim.

Jeste se zeptam, jak resite situaci ze chcete mit na danem stroji krome dns cachce i vlastni domenu - jedete ciste vse na Bindu a nebo napr. unbound na chace a bind na domeny ?

Unbound tohle umí, ale třeba u nás to máme schizofrenní, tzn. Unbound na cache pro lidi, ale na vlastní doménu a pro potřeby sítě a našich serverů máme ještě bind. Samozřejmě že co má být pro lidi (třeba interní stránky, webmail atd.) je také na Bindu, proto má unbound kromě kořenových DNS v seznamu také náš Bind.

Ahoj já používám v siti DNS server s vlastní doménou a PTR záznamamy , to vše na Debianu s BIND9 už my to běží několik let , jak dns si lidí nastavují ip toho interface dummy ,a druhý dns mám také na linuxu také na debianu a bind kde se dělá sekundarní dns.
Zdenek
Ps: skus kouknout na abclinux.cz tam sem tenkrát taky taky hledal infa http://www.abclinuxu.cz/clanky/site/kes ... erver-bind

zdenekr píše:Ahoj já používám v siti DNS server s vlastní doménou a PTR záznamamy , to vše na Debianu s BIND9 už my to běží několik let , jak dns si lidí nastavují ip toho interface dummy ,a druhý dns mám také na linuxu také na debianu a bind kde se dělá sekundarní dns.
Zdenek
Ps: skus kouknout na abclinux.cz tam sem tenkrát taky taky hledal infa http://www.abclinuxu.cz/clanky/site/kes ... erver-bind

Binda jsem pouzival cca 3 roky, ale zda se mi takovy v "" pomaly. Mozna je to jen subjektivni pocit, nevim. Mozna ho nejak brzdi nejaka jina sluzba (netflow, cacti, nagios), popr. nejaka krpa v sitovce ....sam nevim, proto jsem se rozhodnul vyzkouset neco jineho. Chci to ted nahodit vse na SSD disk a nastavit nove.

Přesně tuhle zkušenost s Bindem mám taky. Nevím, jak "by se to mělo správně řešit", ale já dal daemonu binda RT (real-time) prioritu. Jo a taky na to mám samostatný virtuální server.

Myghael píše:Přesně tuhle zkušenost s Bindem mám taky. Nevím, jak "by se to mělo správně řešit", ale já dal daemonu binda RT (real-time) prioritu. Jo a taky na to mám samostatný virtuální server.

Jak jsi to myslel s tou zkusenosti, ze taky neni tak pruzny, jak bys ocekaval?

Me o tom presvedcilo to, ze jsem si tedy nahodil unbound, nastavil si ten server u sebe v praci jako DNS a zkousel - stranky frcely, zadny zasek. Bohuzel u binda se stavalo casteji, ze se stranka nacetla pomaleji - nacetla castecne, na chvili zasek a pak donacetla uz cela.

Mohl bys mi prosim vykopirovat nastaveni unbound, hlavne co se tyka nastaveni domeny? Nasel jsem tento vzorovy config:

server:
verbosity: 1
interface: 0.0.0.0
port: 53
do-ip4: yes
do-ip6: yes
do-udp: yes
do-tcp: yes
do-daemonize: yes
access-control: 0.0.0.0/0 allow
#access-control: 0.0.0.0/0 refuse
#access-control: 127.0.0.0/8 allow
chroot: "/var/unbound"
username: "unbound"
directory: "/var/unbound"
use-syslog: yes
pidfile: "/var/run/unbound.pid"
root-hints: "/var/unbound/named.cache"

local-zone: "example.com." static
local-data: "example.com. 86400 IN NS ns1.hostingcompany.com."
local-data: "example.com. 86400 IN NS ns2.hostingcompany.com."
local-data: "example.com. 86400 IN SOA ns1.hostingcompany.com. hostmaster.hostingcompany.com. 2008052201 28800 7200 604800 86400"
local-data: "example.com. 86400 IN A 1.2.3.4"
local-data: "www.example.com. 86400 IN CNAME example.com."
local-data: "mail.example.com. 86400 IN A 1.2.3.4"
local-data: "example.com. 86400 IN MX 10 mail.example.com."
local-data: "example.com. 86400 IN TXT v=spf1 a mx ~all"

local-zone: "example.net." static
local-data: "example.net. 86400 IN NS ns1.hostingcompany.com."
local-data: "example.net. 86400 IN NS ns2.hostingcompany.com."
local-data: "example.net. 86400 IN SOA ns1.hostingcompany.com. hostmaster.hostingcompany.com. 2008052201 28800 7200 604800 86400"
local-data: "example.net. 86400 IN A 1.2.3.4"
local-data: "www.example.net. 86400 IN CNAME example.net."
local-data: "mail.example.net. 86400 IN A 1.2.3.4"
local-data: "example.net. 86400 IN MX 10 mail.example.net."
local-data: "example.net. 86400 IN TXT v=spf1 a mx ~all"

pepulis píše:Jak jsi to myslel s tou zkusenosti, ze taky neni tak pruzny, jak bys ocekaval?

Me o tom presvedcilo to, ze jsem si tedy nahodil unbound, nastavil si ten server u sebe v praci jako DNS a zkousel - stranky frcely, zadny zasek. Bohuzel u binda se stavalo casteji, ze se stranka nacetla pomaleji - nacetla castecne, na chvili zasek a pak donacetla uz cela.

S tou zkušenoustí jsem to myslel tak, že mám stejnou zkušenost jako ty. Právě proto máme dva DNS servery. Unbound na cache, na vlastní domény Bind.

Sice se to s Bindem podařilo vyřešit, ale stejně jsme časem přešli na dva samostatné DNS, tak jsme Unbound dali čistě na cache a Binda nechali na vlastní domény. Máme jich spoustu, protože do zařízení na síti lezeme ne přes IP adresy (jako to dělají asi všichni), ale přes doménová jména, a to včetně IS (který při změnách IP adres toto samozřejmě zaznamenává i do databáze Bindu). IPv4 se sice dají pamatovat, ale tohle nám pomohlo překonat přerod sítě z bridgované na routovanou a třeba nás to zbaví nutnosti pamatovat si IPv6 adresy.

pepulis píše:Mohl bys mi prosim vykopirovat nastaveni unbound, hlavne co se tyka nastaveni domeny?

Nemohl, Unbound na tohle už nepoužíváme, promiň. Je to někde v zálohách, ale v těch je po odchodu minulého hlavního technika strašný bordel a ještě nebyl čas se tím zabývat.

Dekuju za vysvetleni. Tak aspon ze ta "prace" s tim unbound a Bindem nebyla vnivec . A jak jste vubec docilili toho, ze Vam bezi dve DNSka na jednom stroji? Nerve to neco s tim ze port je jiz pouzivan apod? Ptam se jen pro pripad, kdyby se mi da domena nepodarila rozjet v tom unbound configu.

pepulis píše:Dekuju za vysvetleni. Tak aspon ze ta "prace" s tim unbound a Bindem nebyla vnivec .

Nemáš zač.

pepulis píše:A jak jste vubec docilili toho, ze Vam bezi dve DNSka na jednom stroji? Nerve to neco s tim ze port je jiz pouzivan apod?

Na jednom systému může být DNS kolik je libo, pokud bude každý naslouchat na jiném portu. Pak se to řeší v dst-natu. Také může být na serveru více IP adres a každé DNS poslouchá na jiné. Problém nestandardních portů se dá vyřešit, pokud je server za routerem s vhodným nastavením, u mikrotika kouknou směrem dst-nat.

U nás to funguje poněkud jinak, rozhodli jsme se své servery (web, informační systém, úložiště atd.) dát odděleně, tzn. všechny je strčit za jedné sítě za jeden router s port forwardy a maškarádou, aby se to celé tvářilo jako jeden stroj. Ony servery jsou všechny virtuální na třech fyzických mašinách, ale to je nepodstatné. Prostě máme jako server pixlu velikosti 24U 1000mm racku.
Bind nám běží uvnitř té "pixle", unbound na jednom z běžných serverů. Dospělo se k tomu historicky - bind nevyhovoval pro to "lagování" a než mě napadlo to s RT prioritou, tak hlavní technik zavelel použít něco jiného a ve 3 ráno jsem tam instaloval unbound, i s konfigurací 15 minut (po návštěvě restauračněkulturního zařízení holt nebývám nejrychlejší ). Ten server-pixlu jsem stavěl doma, asi 20 km od centra sítě, pak byla v noci akce kulový blesk a pixla putovala na své místo už předkonfigurovaná a hotová, stačilo zapojit a spustit skript, který se postaral o úpravu nastavení zbytku (tj. stroj s unboundem a L3 switch, igw a shaper je v pixli), stará igw se shaperem stejně dosluhovala.

Dekuju za vysvetleni .

Neporadil bys mi jeste presto s nastavenim. Jdem mi o to ze nakonec asi pouziju rovnez variantu bind + unbound, ale nevim jak na debianu docilit toho, aby jely oba najednou. Mlati se tam porty, at uz 53 (ten vim jak zmenit) a nebo 953 = rndc (ten nevim, jak zmenit). Cilem je udelat unbound jako cache server a bind ciste pro domenu. Dekuju.

Musí běžet každý na svém portu. Samozřejmě zde nastává problém, že jeden z nich pojede na nestandardním portu.

Řešit to můžeš tím, že na serveru budeš mít dvě různé IP adresy (klidně ze stejného rozsahu). Unbound necháš poslouchat na jedné, Bind na druhé. Pak můžou být oba na standardních portech. Znám lidi, co než by řešili jak těch víc adres docílit, dali do serveru dvě síťovky připojené do stejného switche. Samozřejmě pokud se ti s tím nechce drbat, jsou 3 ráno, máš za sebou návštěvu výčepního zařízení a síťovky po ruce, dá se to i takto.

Pokud víš, že Bind bude stejně sloužit jako zdrojové DNS jenom tomu Unboundu, pak porty řešit nemusíš a řekneš Unboundu že zdrojový DNS na Bindu běží na nestandardním portu. V konfiguraci by to mělo být, ale upřímně jsem to ani nezkoumal. Vzhledem k tomu, že všechny požadavku pak půjdou přes Unbound, a ten půjde na standardním portu, už dále na síti nemusíš nic řešit. Třeba Bind na portu 60 a Unbound na 53.

Ale chuj s tým. Port rndc změníš spouštěním rndc s parametrem -p <číslo portu>. Například:


kde 954 je číslo portu.

http://linux.die.net/man/8/rndc