» Всё о DNS

чтоб не возникало подобного рода проблем нужно делать локальный домен типа domain.local
с ходу решение подсказать не могу. подумаю..

Добавлено:
можно попробовать CNAME domain добавить в domain.ru (или com, какой там у вас)
а можно с правами групп похулиганить. думаю так правильнее будет. наверно какие-то права не передались. вот тут гляньте http://itdoc.com.ua/2009/02/naznachenie-prav-dlya-polzovatelej-i-grupp/

Здравствуйте.
Такое дело: клиенты (XP SP3) иногда (пока закономерности не заметил) отваливаются от интернета. В журнале появляется запись:

Тип события:    Предупреждение
Источник события:    LSASRV
Категория события:    SPNEGO (согласователь)
Код события:    40961
Дата:        13.09.2010
Время:        9:38:09
Пользователь:        Н/Д
Компьютер:    COMP42
Описание:
Системе безопасности не удалось установить безопасное подключение к серверу DNS/ns2.provider.ru. Отсутствуют доступные протоколы проверки подлинности.

Получается, отваливается потому что клиент ломится на dns-сервер провайдера, а не на внутренний. Так?
Но ipconfig /all [more]Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : comp42
Основной DNS-суффикс . . . . . . : domain.ru
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : domain.ru

Интернет - Ethernet адаптер:

Состояние сети . . . . . . . . . : сеть отключена
Описание . . . . . . . . . . . . : D-Link DGE-528T Gigabit Ethernet Ada
pter
Физический адрес. . . . . . . . . : 00-0D-88-44-00-6D

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Atheros L1 Gigabit Ethernet 10/100/1
000Base-T Controller
Физический адрес. . . . . . . . . : 00-1D-60-6B-9E-55
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.2.7
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.2.1
DNS-серверы . . . . . . . . . . . : 192.168.1.205
192.168.1.200[/more] показывает, что клиент не должен знать о нем

О dns провайдера единственное упоминание только в настройках пересылки внутреннего dns-сервера.

Почему тогда иногда клиент ломится на провайдерский dns? Что ему в моем не нравится? Подскажите пожалуйста.

Цитата:

О dns провайдера единственное упоминание только в настройках пересылки внутреннего dns-сервера.

а рекурсия на внутреннем dns-сервере не включена?

Хммм... Отключал. Как я понял, при включенной рекурсии, если dns провайдера не может разрешить внешний запрос, то запрос передается на мой внутренний dns. А что внешним адресам делать на внутреннем сервере? Поэтому и отключил. Я чего-то недопонял?

Рекурсия включена с утра. Изменений никаких (также продолжает отваливаться с той же ошибкой). И все равно не понимаю, причем тут рекурсия...

mattveiko На самом деле, рекурсия - это когда ваш ДНС спрашивают об имени, не принадлежащем вашему домену, например, mx.mail.ru и т.п. И ваш сервер будет этот запрос обрабатывать с самого верха, через корневые сервера.
Понятно, если это запрос из локалки, тогда его надо разрешить. А вот внешние запросы удовлетворяться должны только для доменов, обслуживаемого этим сервером, все остальное - побоку.

Цитата:

И все равно не понимаю, причем тут рекурсия...

Это я ступил дело не в этом,
ведь это не ошибка запроса днс-клиентом какого то имени, а ошибка керберос при попытке динамически зарегистрировать сетевое подключение на сервере, причем не на том который указан в настройках а почему то на провайдерском

Давайте подробнее
- AD поднят и domain.ru реальное имя или реальное типа myfirma.provider.ru?
- на локальном DNS есть обратная зона?
- этот компьютер входит в домен?
- строчка "Тип узла. . . . . . . . . . . . . : неизвестный" говорит о том что WINS не используется, а реестр не правили и могут быть проблемы при разрешении простых имен (без доменного суффикса)
- как организован выход в интернет, случайно не ISA сервер?

vlary Спасибо за разъяснение.

Valery12 Давайте:
- AD поднят, реальное имя типа domain.ru
- обратная зона есть
- компьютер входит в домен
- ...
- Kerio Winroute Firewall 6.7.0 patch 1 build 6228

Цитата:

- AD поднят, реальное имя типа domain.ru
- обратная зона есть
- компьютер входит в домен
- ...
- Kerio Winroute Firewall 6.7.0 patch 1 build 6228

ну вот, обидно, все зацепки, которые лежали на поверхности сразу отметаются,

в момент появления в system
Код события: 40961
Дата: 13.09.2010
Время: 9:38:09
какие события в security

я бы для начала открыл regedit на этом компьютере и задал поиск ns2.provider.ru, точнее его адреса (193.232.158.145 193.232.158.144 193.232.159.145 193.232.159.144 ), вдруг какие-то хвосты, из "прошлой жизни остались", искать нужно в разделе HKLM\SYSTEM\CurrentControlSet\Services\Tcpip

посмотрел регистрируется ли вообще это компьютер на локальном ДНС при входе в сеть
нет ли в логах сервера упоминания о сбоях в службе ДНС

Добавлю информацию к размышлению,
как известно DNS сервера которые мы прописываем вручную хранятся в
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{гуид интерфейса}\NameServer
но если интерфейс получает настройки по DHCP то этот ключ пустой, а полученные при подключении сервера появляются в
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer
и после отключения исчезают
так вот многие трояны именно в этот ключ пишут свои DNS сервера

Так. Решено
Невнимательность - самый главный враг системного администратора.
У меня две подсети: 192.168.1.1 и 192.168.2.1. Обратная зона на внутреннем dns-сервере была только для 192.168.1.1. Добавил обратную зону для 192.168.2.1 - глюки ушли

Valery12 Спасибо большое за советы.

Всем привет, стоит задача повысить доступность нашего сайта.

Сейчас всё у одного хостера, у которого периодически бывают сбои со связью.
Т.к. все DNS и сайты у него то мы вообще недоступны из мира.

Вопрос вок какой.

Ставим 3-ий DNS в другого хостера.

Говорим что теперь за нас отвечает 3 DNS сервера.
Если первый хостер отвалиться со своими 2-мя DNS серверами, что произойдёт ?

Рекурсивный запрос:

1. Посетитель спрашивает у своего кто такие site.com
2. Он пошёл спрашивать у корневых, я незнаю кто это, но знаю кто знает и возвращает 3 наших DNS

Как будет работать дальше ? Получил этот DNS сервер 3 IP наших DNS.
Пробует подключиться к первому - ничего
Пробует подключиться ко второму - ничего
Пробует подключиться к третьему - есть ответ, возвращаю клиенту !

Так будет ?

Или всё же обламался на первом и вернул клиенту - server time-out ?

Спасибо.

slech
не получится, просто найдите надежного хостера, 2 ДНС сервера это минимум, а у серьезных контор их 4 и больше

slech Если у вашего хостера проблемы со связью, чем вам поможет второй ДНС, если сам сайт будет недоступен?

Цитата:

slech Если у вашего хостера проблемы со связью, чем вам поможет второй ДНС, если сам сайт будет недоступен?

Забыл дописать.
Находим неплохую площадку, или же прям на этом сервере.
Вешаем страничку - Ребята оставайтесь с нами, у нас временные проблеммы, мы скоро заработаем в полном функционале.


Добавлено:
Valery12

Цитата:

slech
не получится

почему ?

Добавлено:
вопросы с DNS кешем сейчас необсуждаем, это отдельная история и мы это должны понимать.
Будем пробовать ставить оптимально низкий TTL.

slech

Цитата:

Сейчас всё у одного хостера, у которого периодически бывают сбои со связью.
Т.к. все DNS и сайты у него то мы вообще недоступны из мира.

я это понял так: в момент когда оба DNS сервера нашего хостера, который держит наш домен, недоступны - клиенты не могут разрешить имя нашего вэб-сервера исходя из этого я и отвечал, я конечно не являюсь администратором серьезного DNS сервера, поэтому наверняка всего не знаю, но по моему не могут два разных хостера держать один и тот же домен, если только они не заключили какой то договор и не держат secondary зоны друг друга. Если речь идет о обрыве связи с самим вэб-сервером то вопрос другой.

Цитата:

но по моему не могут два разных хостера держать один и тот же домен, если только они не заключили какой то договор и не держат secondary зоны друг друга

я могу завести большое количество DNS серверов, которые будут обслуживать мою зону, например так:

Цитата:

Хостинг1 - Linux Server - DNS 1 Server - Master
Хостинг1 - Linux Server - DNS 2 Server - Slave

Хостинг2 - Windows Server - DNS 3 Server - Master
Хостинг2 - Windows Server - DNS 4 Server - Slave

вопрос именно в том как будет действовать DNS сервер посетителя, у случае если Хостинг1 недоступен ?

1) Можно использовать несколько nameserver'ов для домена, правда надо согласовывать с провайдером. Это решит проблему с падением DNS прова.
2) Проблема с тем, что ресурсные записи просматриваются в произвольном порядке...

slech
поднимайте третий, но дело в том, что клиент запрашивает сервера не обязательно в том порядке как ему их дал корневой. и может возникнуть ситуация когда у клиента табличка "извините не работает" когда все оки.
тогда уж зеркало хттп сервака поднимайте.

The Bug

Цитата:

1) Можно использовать несколько nameserver'ов для домена, правда надо согласовывать с провайдером. Это решит проблему с падением DNS прова.

Зачем что-то согласовывать с провом ?
купил домен, пошёл к регистратору и давй настраивать. Домен твой, делегируй скольки хочешь. Почему я неправ ?




Цитата:

2) Проблема с тем, что ресурсные записи просматриваются в произвольном порядке...

Вот этот вопрос меня и интерисует. Что будет происходить ?

пошли к DNS1 - time-out - что дальше ?
идём обходить DNS2 и DNS3 ? это камень предкновения, если идём просматриватьдо последнего, то это есть гуд.
Попробую дома в книжке поикать ответ.


Цитата:

поднимайте третий, но дело в том, что клиент запрашивает сервера не обязательно в том порядке как ему их дал корневой. и может возникнуть ситуация когда у клиента табличка "извините не работает" когда все оки.

это всё решаемо - BIND, dynamic DNS, failover A records
DNS3 сам мониторит site.com, если сайт упал, то он быстренько меняет A запись и отдаёт пришедшим клиентам резервную, как site.com поднялся, он возвращает прежнюю A запись.
Никаких уупсс быть поидее недолжно, мониторинг можно поставить на 2-5 минут падения - это значит что проблема серьёзная и пора менять запись.


Цитата:

тогда уж зеркало хттп сервака поднимайте.

Вот это кк раз таки и непросто, во первых приложение неможет работать распределённо, да и поднять зеркало, это дорого
#
DB=8 CPU 16 RAM RAID 0 + RAID 10
WWW=4 CPU 6 RAM RAID 10

Доброго времени суток всем!

Столкнулся со следующей проблемой:
есть 2 dns сервера(оба bind9). Один у вышестоящей организации(к которому доступа нет) и второй локальный(к нему доступ есть). Есть зона "myzone" как на первом днс, так и на локальном. И есть одинаковые записи stat.myzone и там и там.
Нужно сделать так чтобы все записи брались с сервера вышестоящей организации за исключением одинаковых, которые должны браться с локального ДНС.(вообщем если запись есть и там и там приоритет отдавался локальному днс, а если такой записи на локальном нету - брал с вышестоящего днс. Править конфиг можно только на втором днс. название зон идентичное что на одном и на втором). 2-ой день бьюсь - ничего не выходит.

bakandr1984

Цитата:

есть 2 dns сервера(оба bind9). Один у вышестоящей организации(к которому доступа нет) и второй локальный(к нему доступ есть).

Тот что у вышестоящей организации должен выступать в роли master, а ваш, тот что локальный, как secondary, зона будет идентична на обоих серверах.

Цитата:

вообщем если запись есть и там и там приоритет отдавался локальному днс, а если такой записи на локальном нету - брал с вышестоящего днс

На этот случай имеется опция forward/forwarders, в случае если у локального сервера имен в кеше нет информации о хосте/домене будет предпринята попытка узнать информацию у сервера имен, указанного в опции forwarders.

bakandr1984 Конечно, самое правильное было бы настроить ваш сервер как секондари для зоны "myzone". В этом случае админ этой зоны должен разрешить вашему серверу трансфер зоны. Но если по каким-то причинам это невозможно, можно настроить эту зону как форвард, указав тот самый сервер вышестоящей организации, скажем, 138.72.10.20.
zone "myzone" {
type forward;
forwarders { 138.72.10.20; };
};

кто может подсказать где почитать как работают DNS клиенты в в OS ?

1. Везде где читал пишут, что они в основном используют рекурсивные запросы, но так же указанно что они могут использовать и итеративные запросы, т.е. сами ходить и выяснять что и как.
2. Что будет в случае если искомое имя есть Псевдоним - CNAME.
#dig whatismyip.akamai.com

Цитата:

whatismyip.akamai.com. 300 IN CNAME whatismyip.akamai.com.edgesuite.net.
whatismyip.akamai.com.edgesuite.net. 21600 IN CNAME a1524.g.akamai.net.
a1524.g.akamai.net. 20 IN CNAME a1524.g.akamai.net.0.1.cn.akamaitech.net.
a1524.g.akamai.net.0.1.cn.akamaitech.net. 20 IN A 89.114.195.33
a1524.g.akamai.net.0.1.cn.akamaitech.net. 20 IN A 89.114.195.40

кто определил IP для CNAME ?
клиент мой запрашивал A запись для whatismyip.akamai.com, но таковой нету.
DNS сервер видит что есть CNAME и судя по статье - может вернуть её клиенту, а он поидее уже сам узнать IP этой CNAME записи.

Стоит задача прояснить этот вопрос, может кто-нибудь что-нибудь посоветовать по теме ?

Спасибо.

slech Можно взять любой снифер пакетов, сделать запрос и зафиксировать весь обмен пакетами с ДНС сервером. Формат пакетов известен, посему легко изучить тип и последовательность запросов.
Насчет "сами ходить и выяснять что и как" - это сомнительно, поскольку доступ клиенты часто имеют только к своему серверу ДНС, и это несомненно учитывается.

ginger, vlary
спасибо! буду крутить вышестоящего чтобы подправил свои конфиги

Добавлено:
вообщем пока ничего....
если делать его как slave, то записи на локальном днс получаются идентичными тем что на сервере вышестоящей организации.
Если прописывать forward (first/only) то запрос все равно уходит изначально на днс вышестоящей организации, а потом уже может вернуться на локальный днс.
А мне надо чтобы он сначала проверил на локальном днс, а потом если запись отсутствует то передавал ее дальше... все осложняется тем что название зон должно обязательно совпадать на 2-ух днс. Получается что попадая на локальный днс и не обнаружив нужной записи возвращается ответ о том что ничего не найдено... как будто он является первичным\авторитетным для этой зоны не смотря на то что он slave.
Ума не приложу что с ним делать.

Добавлено:
забыл добавить - мне надо чтобы для моего сегмента сети для buh.myzone выдавался 192.168.1.12, а для major.myzone - 10.21.1.100, а для вышестоящей организации buh.myzone - 10.21.1.101, а для major.myzone - 10.21.1.100. Править конфиги можно только на локальном днс(в моем сегменте сети).
Если бы был доступ к корпоративному днс то все можно было бы решить через view, а так ничего не получается....

slech
Насколько я понимаю стандартный "клиент" в ОС это всего лишь библиотечные функции BSD socket /Winsock: gethostbyname(), gethostbyaddr() и getaddrinfo(). (Последняя самая продвинутая.) Так что см. man в линухе по ним или msdn в винде.

bakandr1984 Ну, у вас такие заковыки... Здесь играем, здесь не играем, здесь селедка была завернута...
Вижу кривой, но ИМХО единственный вариант.
Вы у себя в ДНС создаете зону/поддомен buh.myzone с адресом 192.168.1.12 как мастер.
И вы ставите forward зону myzone. Логика понятная. Поскольку ваш сервер авторитарен для buh.myzone, он выдаст вам адрес сам, а не полезет к форвардеру. А с той стороны все будет выдаваться как настроено в myzone.

vlary
такой вариант уже рассматривал... он неплох когда таких подменяемых ресурсов не более 10-20 - можно при таком количестве и дополнительные зоны прописать. Думал что возможно есть какой-нибудь другой более изящный способ... но раз нет...
Но все равно огромное Вам спасибо!!!!

bakandr1984
Цитата:

когда таких подменяемых ресурсов не более 10-20

Ну, если у вас достаточно большой филиал, то пора подумать о создании своего поддомена. Это стандартная процедура для разрастающихся компаний. Тогда все ваши проблемы должны решиться. Почтовый же домен может оставаться единым.
Либо использовать для всего филиала файл хостс, где прописать все исключения, но решение это совершенно не кузявое.