[GTER] Problemas Resolução DNS
Ricardo Rodrigues
rcr.listas at ig.com.br
Wed Oct 19 21:48:46 -02 2011
Não me sinto muito confortável em responder sobre DNS em uma lista onde
temos os maiores gurus de DNS do Brasil, mas tentarei contribuir.
O default no BIND é 3 horas (
http://ftp.isc.org/isc/bind9/cur/9.8/doc/arm/Bv9ARM.pdf - procure por
max-ncache-ttl). Este valor costuma ser suficiente para a grande maioria das
situações. Em casos específicos onde um domínio mudou suas configurações mas
o TTL continua válido, você pode fazer um flush apenas do domínio ao invés
de reiniciar todo o processo DNS.
Talvez o problema no seu caso seja outro. Você não está bloqueando consultas
via TCP, está? É normal achar que DNS usa TCP apenas para transferência de
zona, mas também é usado para consultas (tanto vindas de clientes quanto
enviadas aos autoritativos).
O ideal seria usar um software DNS que permitisse analisar o conteúdo do
cache (sem precisar fazer dump da memória cache) e logs para analisar as
respostas recebidas dos autoritativos e respondidas aos clientes. Não uso
BIND e não sei se algum software não comercial provê estas funcionalidades.
Saudações,
Ricardo
Em 19 de outubro de 2011 11:50, Lista <lista.gter at gmail.com> escreveu:
> Certo, no caso qual seria a melhor pratica a fazer, tem alguma rfc ou
> documentação onde fala sobre o cache de respostas negative ? Alguém
> sabe qual o padrão do bind?
>
> Em 19 de outubro de 2011 01:10, Ricardo Rodrigues
> <rcr.listas at ig.com.br> escreveu:
> > Hummm... Fiquei surpreso com a afirmação de que a boa prática é não fazer
> > cache de resposta negativa. Suponha 10k clientes fazendo 1 consulta por
> > segundo para um domínio que não existe. Sem o cache negativo, o servidor
> > cache fará 10k consultas por segundo para os autoritativos e certamente
> não
> > estará trabalhando de maneira ótima. Um cache negativo de 1 segundo já
> > alivia e muito esta situação.
> >
> > Eu não recomendaria um cache negativo inferior a 10 segundos.
> >
> > Abs,
> > Ricardo
> >
> > Em 16 de outubro de 2011 22:26, Rober Hoelscher
> > <rober at tcheturbo.com.br>escreveu:
> >
> >> Quando tive os problemas reportei na lista os testes que realizei:
> >>
> >> http://eng.registro.br/pipermail/gter/2011-March/031556.html
> >>
> >> Você pode estar tendo o mesmo problema ou então estar fazendo cache
> >> de respostas negativas, ou seja, seu name server tentou resolver, por
> >> alguma razão interna ou externa não obteve êxito e manteve essa
> >> resposta no cache.
> >>
> >> A boa prática é não fazer o cache de resposta negativas, que
> >> talvez seja atenda a esse comportamento dos "opendns", o qual você
> >> classificou como "manipulação de TTL"
> >>
> >> Att.
> >> -
> >> Rober Hoelscher
> >>
> >> Em Sabado, 15/10/2011 no 14:06 Lista escreveu:
> >>
> >> Pois é Rober, ja fiz algumas solicitações há algumas empresas,
> >> porém
> >> internamente, sempre acham que o problema é do cara da T.I, por que
> >> da
> >> casa deles, conseguem acesso. Isso que me intriga. qual a forma que
> >> esses "opendns" usam, eles manipulam o DNS para o TTL, pois o mesmo
> >> acontece se há alteração de dominio, sabemos que temos aquele
> >> periodo
> >> de transição de publicação, ae se o cara está esperando um
> >> e-mail
> >> importante ferro, pois começa a dar problema em SPF e tals por conta
> >> disso, ae temos que restartar o dns para que ele refaça as
> >> consultas.
> >>
> >> Em 14 de outubro de 2011 20:30, Rober Hoelscher
> >> escreveu:
> >> > Ja tive alguns problemas assim.
> >> >
> >> > Certa vez era em virtude do cache de respostas negativas (negativa
> >> cache).
> >> >
> >> > Outra vez era em razão de um erro de configuração do servidor
> >> autoritativo da zona, que ao mesmo tempo que respondia a solicitação
> >> delegava a autoridade para outro NS. Esta ultima situação foi
> >> resolvida orientando os responsáveis.
> >> >
> >> > Enviado via iPhone
> >> >
> >> > Em 14/10/2011, às 15:08, Lista
> >> * escreveu:
> >> >
> >> >> Caros colegas estive tendo alguns probleminhas com relação a
> >> DNS, na
> >> >> seguinte situação.
> >> >>
> >> >> Por exemplo algum usuario da minha rede tenta acessar um
> >> determinado
> >> >> site, esse mesmo não abre ae altero
> >> >> para o DNS do google ele abre.
> >> >> Porém em analise verifica-se que houve alteração de dns ou
> >> tem algum
> >> >> erro no servidor de DNS do dominioZ. Então nesse caso o usuario
> >> pensa
> >> >> que o problema é com o servidor nosso, coisa que um restarte
> >> resolve,
> >> >> mas se for erro de conf logo dá problema de novo, oq não ocorre
> >> nesses
> >> >> opendns servers.
> >> >> Qual a forma de cache que eles utilizam, tem como mudar o TTL de
> >> >> consultas recursivas em cache, para que se expire mais
> >> rapidamente, no
> >> >> meu servidor?
> >> >> --
> >> >> gter list https://eng.registro.br/mailman/listinfo/gter
> >> > --
> >> > gter list https://eng.registro.br/mailman/listinfo/gter
> >> --
> >> gter list https://eng.registro.br/mailman/listinfo/gter
> >>
> >>
> >> --
> >> gter list https://eng.registro.br/mailman/listinfo/gter
> >>
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list