buxp.org a bind9

[okoun]

Ahoj, mám problém s jedním uživatelem, který používá buxp.org a stěžuje si že mu stránka nefunguje, na vině je to e můj bind9 to nepřeloží a tedy nenajde ip k serveru, nicméně děje se to jen u této stránky u žádné jiné, vždy pomůže bind9 restartovat, nevíte co by to mohlo být za problém?

Díky

[Dalibor Toman]

Ahoj, mám problém s jedním uživatelem, který používá buxp.org a stěžuje si že mu stránka nefunguje, na vině je to e můj bind9 to nepřeloží a tedy nenajde ip k serveru, nicméně děje se to jen u této stránky u žádné jiné, vždy pomůže bind9 restartovat, nevíte co by to mohlo být za problém?

Díky

zapnout logovani chyb a podivat se jestli se tam neco nenajde. Ulozit cache (rndc dumpdb all) a podivat se jestli tam neco neuvidis.
Obcas se nejaka takova domena taky u nas objevi. Vetsinou jde o to, ze bind si nakesuje, ze je nejaky problem (nefunkcni NS pro domenu apod) a pak nejakou dobu ta domena 'nefunguje'.
Problem muze byt i ve stare verzi bindu...

[ludvik]

Abych za mě řekl - tyhle problémy odmítám řešit nějak výrazně. Pokud má daná doména name servery na IP adresách o jedničku vedle 155.94.162.10 a 155.94.162.11, tak si nezaslouží moji pozornost. A ještě k tomu ta jedna odpovídá tomu web serveru. Možná to jsou dva servery. Ale se vší pravděpodobností za jedním switchem a ještě k tomu virtuály (možná i IP aliasy ...). Můžou si za problémy sami.

Problém bindu to teoreticky být může. Není to tak dávno, co jsem řešil DNSSEC od wedosu. Nakonec se ukázalo, že můj bind neumí nějakou vlastnost wedosem používanou. Ale už si nepamatuji, co to přesně bylo (možná podpis wildcardované domény). Problém této domény to ale není.

[okoun]

Abych za mě řekl - tyhle problémy odmítám řešit nějak výrazně. Pokud má daná doména name servery na IP adresách o jedničku vedle 155.94.162.10 a 155.94.162.11, tak si nezaslouží moji pozornost. A ještě k tomu ta jedna odpovídá tomu web serveru. Možná to jsou dva servery. Ale se vší pravděpodobností za jedním switchem a ještě k tomu virtuály (možná i IP aliasy ...). Můžou si za problémy sami.

Problém bindu to teoreticky být může. Není to tak dávno, co jsem řešil DNSSEC od wedosu. Nakonec se ukázalo, že můj bind neumí nějakou vlastnost wedosem používanou. Ale už si nepamatuji, co to přesně bylo (možná podpis wildcardované domény). Problém této domény to ale není.

Jasně no, ta astránka je totální plevel, ale jako blbý je to že pán mi argumentuje tím, že na blbejch mobilních datech to jde.

[the.max]

tak ať si do hostsu udělá statickej záznam.

[ludvik]

Všude používám minimálně 9.9.7-P2 a funguje to. 9.10.2-P3 také. Tzn si bohužel budeš muset toto oddebugovat sám. Dalibor míří určitě správným směrem.

[Majklik]

Problém bindu to teoreticky být může. Není to tak dávno, co jsem řešil DNSSEC od wedosu. Nakonec se ukázalo, že můj bind neumí nějakou vlastnost wedosem používanou. Ale už si nepamatuji, co to přesně bylo (možná podpis wildcardované domény). Problém této domény to ale není.

Jo, tohle DNSSEC nepoužívá.
Starší bindy, co jsou často součástí distribucí, tak mají problém s kombinací, když je použit DNSSEC a wildcard doména v které jsou NSEC3 záznamy popírající existenci požadovaného záznamu na který se vrátí wildcard odpověď. Tohle uměl korektně vyhodnotit až BIND 9.9 a unbound 1.4.16.
Jinak zde se dá otestovat, zda můj resolver (který prohlížeč aktuálně použije) to řeší správně, stejně jako další úchylky: http://0skar.cz/dns/

[Majklik]

Ahoj, mám problém s jedním uživatelem, který používá buxp.org a stěžuje si že mu stránka nefunguje, na vině je to e můj bind9 to nepřeloží a tedy nenajde ip k serveru, nicméně děje se to jen u této stránky u žádné jiné, vždy pomůže bind9 restartovat, nevíte co by to mohlo být za problém?

Jak píše Ludvík, s největší pravděpodobností problém negativní cache. Dva DNS servery, IPčka vedle sebe, tak udělá někdo dotaz ve chvíli, kdy ta síť není dostupná a smůla, bind se naučí a bude si pamatovat, že nedostupná a bude toto vracet.
Bind defualtně má negativní cache limitovanou na 3 hodiny. Ta doména dokonce publikuje, že si ji může natáhnout na 24 hodin.
Takže můžeš si pomocí max-ncache-ttl volby v options zkrátit tu negativní cache o něco a třeba mít pokoj...

[okoun]

ok, díky.

[Dalibor Toman]

Jinak zde se dá otestovat, zda můj resolver (který prohlížeč aktuálně použije) to řeší správně, stejně jako další úchylky: http://0skar.cz/dns/

diky za odkaz. Otestoval jsem nase 2 resolvery a starsi bind bind-9.8.2-0.37.rc1 (Scientific Linux 6.6) nezvladl jen elipticke krivky, novejsi bind-9.9.4-18(Scientific Linux 7.1) zvladl vsechno. Takze RedHat zrejme backportuje featury z 9.9.x i do 9.8.x

[okoun]

no vidíš ten náš má vše OK dl oho testu a máme problémy

[Majklik]

diky za odkaz. Otestoval jsem nase 2 resolvery a starsi bind bind-9.8.2-0.37.rc1 (Scientific Linux 6.6) nezvladl jen elipticke krivky, novejsi bind-9.9.4-18(Scientific Linux 7.1) zvladl vsechno. Takze RedHat zrejme backportuje featury z 9.9.x i do 9.8.x

Ano, RedHat dělá backport vybraných vlastností do starší řady RHEL6, takže se validní podpora NSEC3 dostala do distribucí odvozených RHEL6 zdrojáků i se starou verzí bindu.

no vidíš ten náš má vše OK dl oho testu a máme problémy

Protože nemáš problém s DNSSEC v tomto případě, ale se stupiditou provozovatele té domény. Ale dělá to tak kde kdo. Před lety to takto blbě měl i Mikrosoft a pak to rychle přebastlili na normál.

[okoun]

nastavil jsem na 3600 sec a zatím je klídek...