Jump to content

Ошибки DNS

roma33rus
 Share

Recommended Posts

roma33rus

roma33rus

Posted
Posted (edited)

Всем привет. Есть машина с Freebsd 11.3 на борту. на нем стоит bind 9.11. И иногда на некоторые сайты хром выдает ошибку dns_probe_finished_nxdomain. Как ее можно поправить и с какой стороны вообще может быть проблема? В логах бинда при этом ошибок нет.

Edited by roma33rus
roma33rus

roma33rus

Posted
  • Author
Posted (edited)

Смотрю digом и иногда сервер не получается адрес сайта: 

[root@backup ~]# dig @localhost mb77.ru

; <<>> DiG 9.16.3 <<>> @localhost mb77.ru
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 57421
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 6fc1221e51c3e7ba0494ab945ed4eb633f57f7310ac312b2 (good)
;; QUESTION SECTION:
;mb77.ru.                       IN      A

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Jun 01 14:49:55 MSK 2020
;; MSG SIZE  rcvd: 64

 

По логам так, первые запросы безуспешные, последние два нормально выполнились: 

01-Jun-2020 14:54:46.129 queries: info: client @0x802c76e00 127.0.0.1#57663 (mb77.ru): query: mb77.ru IN A +E(0)K (127.0.0.1)
01-Jun-2020 14:54:49.528 queries: info: client @0x805211000 127.0.0.1#16045 (mb77.ru): query: mb77.ru IN A +E(0)K (127.0.0.1)
01-Jun-2020 14:54:50.584 queries: info: client @0x802c76e00 127.0.0.1#30196 (mb77.ru): query: mb77.ru IN A +E(0)K (127.0.0.1)
01-Jun-2020 14:54:51.592 queries: info: client @0x805211000 127.0.0.1#17806 (mb77.ru): query: mb77.ru IN A +E(0)K (127.0.0.1)
01-Jun-2020 14:54:52.664 queries: info: client @0x802c76e00 127.0.0.1#47263 (mb77.ru): query: mb77.ru IN A +E(0)K (127.0.0.1)
01-Jun-2020 14:54:53.720 queries: info: client @0x805211000 127.0.0.1#59593 (mb77.ru): query: mb77.ru IN A +E(0)K (127.0.0.1)
01-Jun-2020 14:54:55.256 queries: info: client @0x802c76e00 127.0.0.1#19077 (mb77.ru): query: mb77.ru IN A +E(0)K (127.0.0.1)
01-Jun-2020 14:54:56.944 queries: info: client @0x805211000 127.0.0.1#42575 (mb77.ru): query: mb77.ru IN A +E(0)K (127.0.0.1)
01-Jun-2020 14:54:58.952 queries: info: client @0x802c76e00 127.0.0.1#42804 (mb77.ru): query: mb77.ru IN A +E(0)K (127.0.0.1)

 

Edited by roma33rus
roma33rus

roma33rus

Posted
  • Author
Posted
10 минут назад, alibek сказал:

Видимо некорректный ответ.

А почему Unbound не используете? Вроде бы он штатно в FreeBSD 11 идет.

Или авторитетный нужен?

 

Странно, а на соседнем сервере все нормально, таких ситуаций не попадается.  и такая проблема когда запрос адреса сайта идет впервые, когда в кеш попадает, то некоторое время все нормально.

Unbound никогда не пробовал. Вообще да, нужен авторитетный для зоны нашего сайта, ее я могу перенести на внешний. 

А вот как быть с PTR записями, там же тоже нужен авторитетный днс?

alibek

alibek

Posted
Posted

У меня похожие ошибки были, когда памяти для Unbound было мало.

На BIND с такими ошибками не сталкивался (но там были другие).

 

Я у себя сейчас использую связку NSD+Unbound.

NSD висит на петлевых интерфейсах и с помощью правил iptables на него перенаправляются внешние запросы (и некоторые внутренние).

А для внутренних используется Unbound.

В последних версиях Unbound для локальных зон можно выставлять флаг авторитетности.

В моей версии этого нет (то есть для внутренних запросов ответы не авторитетны), но за все то время это мне ни разу не потребовалось.

roma33rus

roma33rus

Posted
  • Author
Posted

Странно, что постоянное поведение только с доменом mb77.ru, может еще конечно какие-то есть, ну я не замечал, сервер тестовый, через него только моя машина пользуется. Остальные домены нормально работают.

 

Это получается unbound используется для абонентов, а все зоны надо держать на nsd? ptr получается тоже на nsd надо держать?

roma33rus

roma33rus

Posted
  • Author
Posted (edited)
15 минут назад, alibek сказал:

Нужно подробные логи смотреть.

Может быть ответ слишком длинный.

 

Поставил для default и логов запросов severity debug: 

01-Jun-2020 16:30:45.014 general: info: received control channel command 'flush'
01-Jun-2020 16:30:45.014 database: debug 1: calling free_rbtdb(.)
01-Jun-2020 16:30:45.014 database: debug 1: adjust_quantum: old=100, new=325
01-Jun-2020 16:30:45.014 database: debug 1: calling free_rbtdb(.)
01-Jun-2020 16:30:45.014 database: debug 1: done free_rbtdb(.)
01-Jun-2020 16:30:45.015 general: info: flushing caches in all views succeeded
01-Jun-2020 16:30:45.015 database: debug 1: done free_rbtdb(.)
01-Jun-2020 16:30:46.290 resolver: debug 1: fetch: mb77.ru/A
01-Jun-2020 16:30:46.291 resolver: debug 1: fetch: ./NS
01-Jun-2020 16:30:46.440 resolver: info: resolver priming query complete
01-Jun-2020 16:30:46.704 resolver: debug 1: fetch: ns1.baz-on.ru/A
01-Jun-2020 16:30:46.704 resolver: debug 1: fetch: ns1.baz-on.ru/AAAA
01-Jun-2020 16:30:46.704 resolver: debug 1: fetch: ns2.baz-on.ru/A
01-Jun-2020 16:30:46.704 resolver: debug 1: fetch: ns2.baz-on.ru/AAAA
01-Jun-2020 16:30:46.775 resolver: debug 1: fetch: ns1.selectel.org/A
01-Jun-2020 16:30:46.775 resolver: debug 1: fetch: ns1.selectel.org/AAAA
01-Jun-2020 16:30:46.775 resolver: debug 1: fetch: ns2.selectel.org/A
01-Jun-2020 16:30:46.775 resolver: debug 1: fetch: ns2.selectel.org/AAAA
01-Jun-2020 16:30:46.775 resolver: debug 1: fetch: ns3.selectel.org/A
01-Jun-2020 16:30:46.775 resolver: debug 1: fetch: ns3.selectel.org/AAAA
01-Jun-2020 16:30:46.775 resolver: debug 1: fetch: ns4.selectel.org/A
01-Jun-2020 16:30:46.775 resolver: debug 1: fetch: ns4.selectel.org/AAAA
01-Jun-2020 16:30:47.107 query-errors: info: client @0x802c72800 127.0.0.1#12029 (mb77.ru): query failed (SERVFAIL) for mb77.ru/IN/A at query.c:8629

 

Можно еще детальнее логи включить?

Edited by roma33rus
TheUser

TheUser

Posted
Posted
2 часа назад, roma33rus сказал:

Кстати, при этом могут ли быть какие-то проблемы на стороне днс, где хостится это доменное имя?

Скорее всего, оттуда и растут уши.

Снимите pcap-дамп с интерфейса с фильтром по IP авторитативных серверов.

jffulcrum

jffulcrum

Posted
Posted
2 часа назад, roma33rus сказал:

01-Jun-2020 16:30:47.107 query-errors: info: client @0x802c72800 127.0.0.1#12029 (mb77.ru): query failed (SERVFAIL) for mb77.ru/IN/A at query.c:8629

named-checkzone на файл зоны mb77.ru выполните (если это ваш сервер для нее)

roma33rus

roma33rus

Posted
  • Author
Posted
14 часов назад, jffulcrum сказал:

named-checkzone на файл зоны mb77.ru выполните (если это ваш сервер для нее)

 

Не, это не моя зона. сторонняя.

 

Вчера от безысходности переставил bind на версию 9.12. И теперь с этим доменом все хорошо. Не знаю в чем проблема была.

 

16 часов назад, GrandPr1de сказал:

Уходи с бинда и разноси сервисы. 

Уже 100 раз обсуждали что авторитарник и рекурсор в одном флаконе - херня.

 

Я это понимаю и желание есть так сделать. только катастрофически знаний не хватает, надо изучать, а чтобы изучать время надо, которого тоже нет. Разрываюсь на все. Сейчас напарника мне искать и после этого набираться знаний.

jffulcrum

jffulcrum

Posted
Posted
8 часов назад, roma33rus сказал:

Не знаю в чем проблема была.

С высокой вероятностью у этих граждан в SOA ошибки были. Может просто догадались исправить. Томми BIND очень чувствительный мальчик...

roma33rus

roma33rus

Posted
  • Author
Posted
22 часа назад, st_re сказал:

9.12 ? а 9.11 тогда какая была ? вообщето 9.12 давно EOL. Может того, обновить на что то актуальное ? 9.11.19, 9.14.12, 9.16.3 ? ну или почитать что там от вашей версии 9.11 до 9.11.19 пофикшено https://downloads.isc.org/isc/bind9/9.11.19/RELEASE-NOTES-bind-9.11.19.html ?

 

Я изначально 9.16 ветку и ставил. Потом откатился на 9.11. На них обеих была эта проблема. Потом воткнул 9.12 и там проблемы нет пару дней уже как. Решил на ней и остаться.

 

15 часов назад, jffulcrum сказал:

С высокой вероятностью у этих граждан в SOA ошибки были. Может просто догадались исправить. Томми BIND очень чувствительный мальчик...

 

Какой бинд проказник этот. Выходит все на 100% советуют с него слезать?

pppoetest

pppoetest

Posted
Posted
3 минуты назад, roma33rus сказал:

Выходит все на 100% советуют с него слезать?

Я слез 2 года назад, бинд действительно слишком чувствительный неповоротливый слон.

roma33rus

roma33rus

Posted
  • Author
Posted
Только что, pppoetest сказал:

Я слез 2 года назад, бинд действительно слишком чувствительный неповоротливый слон.

 

Я понял. Сейчас надо все равно эту железку запустить, а на будущее надо планировать переезд.

 

Всем спасибо. В инете поищу статейки.

roma33rus

roma33rus

Posted
  • Author
Posted

А еще такой вопросик есть. В dig есть такой показатель, как Query time, он значит время выполнения запроса, то есть туда входить и обработка данных моим сервером и запрос к удаленному серверу, выполнение каких-либо действий на удаленном ns и соответственно время доставки этих данных по сети?

Когда запрос у меня не в кеше, то время запроса для этого сайта такое приблизительно, бывает меньше, в кеш попадает и время уже 0ms. Для сравнения привел запрос к домену yandex.ru, там это время в разы меньше. Это же тоже может влиять? и есть ли у бинда какие-то таймауты на этот момент?

  

[root@backup ~]# dig @localhost mb77.ru

; <<>> DiG 9.12.4-P1 <<>> @localhost mb77.ru
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7089
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: da9a16d589bb92685a93d18b5ed74f1e8d8ee7e67a6195bd (good)
;; QUESTION SECTION:
;mb77.ru.                       IN      A

;; ANSWER SECTION:
mb77.ru.                3600    IN      A       212.109.222.215

;; Query time: 1212 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Jun 03 10:19:58 MSK 2020
;; MSG SIZE  rcvd: 80

[root@backup ~]#

[root@backup ~]# dig @localhost yandex.ru

; <<>> DiG 9.12.4-P1 <<>> @localhost yandex.ru
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13617
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 7c8d8f07b8311fb45492a1cb5ed74ff5f4be45557bf243ff (good)
;; QUESTION SECTION:
;yandex.ru.                     IN      A

;; ANSWER SECTION:
yandex.ru.              300     IN      A       5.255.255.60
yandex.ru.              300     IN      A       5.255.255.70
yandex.ru.              300     IN      A       77.88.55.60
yandex.ru.              300     IN      A       77.88.55.66

;; Query time: 15 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Jun 03 10:23:33 MSK 2020
;; MSG SIZE  rcvd: 130

 

jffulcrum

jffulcrum

Posted
Posted
14 минут назад, roma33rus сказал:

есть ли у бинда какие-то таймауты на этот момент?

У BIND было 4 секунды плюс 2x RTT на запрос, по два запроса к каждому NS, 45 секунд на всю попытку.

roma33rus

roma33rus

Posted
  • Author
Posted
1 час назад, jffulcrum сказал:

У BIND было 4 секунды плюс 2x RTT на запрос, по два запроса к каждому NS, 45 секунд на всю попытку.

 

Понял, спасибо. Значит не в этом дело.

st_re

st_re

Posted
Posted

вообще у ребят конечно описание зоны кривое

dig mb77.ru @a.dns.ripn.net.

;; AUTHORITY SECTION:
mb77.ru.                345600  IN      NS      ns1.baz-on.ru.  <<<<<<<<<<<<<------
mb77.ru.                345600  IN      NS      ns2.baz-on.ru. <<<<<<<<<<<<<-------
 

dig ns1.baz-on.ru. @a.dns.ripn.net.

;; AUTHORITY SECTION:
baz-on.ru.              345600  IN      NS      ns1.selectel.org.
baz-on.ru.              345600  IN      NS      ns2.selectel.org.
baz-on.ru.              345600  IN      NS      ns3.selectel.org.
baz-on.ru.              345600  IN      NS      ns4.selectel.org.
 

dig ns1.baz-on.ru. @ns1.selectel.org.

;; ANSWER SECTION:
ns1.baz-on.ru.          3600    IN      A       31.131.255.10

 

 dig ns mb77.ru @31.131.255.10

;; ANSWER SECTION:
mb77.ru.                86400   IN      NS      ns4.selectel.org. <<<<<<----
mb77.ru.                86400   IN      NS      ns3.selectel.org.
mb77.ru.                86400   IN      NS      ns2.selectel.org.
mb77.ru.                86400   IN      NS      ns1.selectel.org.

;; ADDITIONAL SECTION:
ns1.selectel.org.       3600    IN      A       31.131.255.10
ns2.selectel.org.       3600    IN      A       31.131.254.5
ns1.selectel.org.       600     IN      AAAA    2a00:ab00:800::53
ns4.selectel.org.       3600    IN      AAAA    2a00:ab00:803::53
ns4.selectel.org.       86400   IN      A       31.131.254.10
ns3.selectel.org.       3600    IN      AAAA    2a00:ab00:802::53
ns3.selectel.org.       3600    IN      A       31.131.255.5
ns2.selectel.org.       600     IN      AAAA    2a00:ab00:801::53
 

NSы в зоне RU и в зоне mb77.ru разные.. IP конечно у первых 2-х совпадают, но вообще так неправильно. Возможно в бинде какихто версий чтото сносит от такого. Опять же лишний подзапрос при ресолве для выяснения сначала ns1.baz-on.ru. а потом ns1.selectel.org. хотя если бы в описании зоны указать сразу nsХ.selectel.org. то -1 подзапрос. Но в целом вроде как все сервера отзываются нормально.

roma33rus

roma33rus

Posted
  • Author
Posted

спасибо. Ясно одно, что с бинда надо слазить, ибо мне вообще надо логику своих днс серверов поменять и поставить нормальное ПО под дальнейшую нагрузку.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.