Baneff 167 Posted 2016-10-04 23:32:12 Share Posted 2016-10-04 23:32:12 Всем привет. Сегодня ночью перестали ресолвится имена, соответственно всё полегло. Кинулся смотреть логи намеда, а там такое: 05-Oct-2016 00:52:50.025 general: warning: zone arpa/IN: expired 05-Oct-2016 00:52:50.025 general: warning: zone ./IN: expired 05-Oct-2016 00:53:20.029 general: info: zone arpa/IN: refresh: retry limit for master 192.5.5.241#53 exceeded 05-Oct-2016 00:53:20.029 general: info: zone arpa/IN: Transfer started. 05-Oct-2016 00:53:20.037 xfer-in: error: transfer of 'arpa/IN' from 192.5.5.241#53: failed to connect: connection refused 05-Oct-2016 00:53:20.037 xfer-in: info: transfer of 'arpa/IN' from 192.5.5.241#53: Transfer status: connection refused 05-Oct-2016 00:53:20.037 xfer-in: info: transfer of 'arpa/IN' from 192.5.5.241#53: Transfer completed: 0 messages, 0 records, 0 bytes, 0.007 secs (0 bytes/sec) 05-Oct-2016 00:53:20.534 general: info: zone ./IN: refresh: retry limit for master 192.5.5.241#53 exceeded 05-Oct-2016 00:53:20.534 general: info: zone ./IN: Transfer started. 05-Oct-2016 00:53:20.541 xfer-in: error: transfer of './IN' from 192.5.5.241#53: failed to connect: connection refused 05-Oct-2016 00:53:20.541 xfer-in: info: transfer of './IN' from 192.5.5.241#53: Transfer status: connection refused 05-Oct-2016 00:53:20.541 xfer-in: info: transfer of './IN' from 192.5.5.241#53: Transfer completed: 0 messages, 0 records, 0 bytes, 0.007 secs (0 bytes/sec) То есть протухли обе корневые зоны, а обновить их невозможно, поскольку корневой сервер 192.5.5.241 отвергает соединение. Именно этот сервер прописан по умолчанию в конфиге намеда, ну никто его и не трогал и работало всё много лет без проблем. Поменял в конфиге намеда этот сервер на другой - всё поднялось сразу без проблем. Так что это было кто-нибудь в курсе? Я что-то пропустил? Или это уже начались последствия того, что "США передали техфункции контроля над интернетом международному сообществу"? Link to post Share on other sites
supportod 1 Posted 2016-10-05 00:28:18 Share Posted 2016-10-05 00:28:18 А вы посмотрите у себя файлик named.root. Ведь там еще куча корневых серверов. Link to post Share on other sites
Baneff 167 Posted 2016-10-05 01:36:49 Author Share Posted 2016-10-05 01:36:49 А вы посмотрите у себя файлик named.root. Ведь там еще куча корневых серверов. Да, я и посмотрел, выбрал оттуда IP адрес другого корневого сервера и прописал его в named.conf вместо дефолтного 192.5.5.241. Как я уже говорил, в результате всё заработало. Но ведь вопрос-то остался. Что это было? А может завтра и второй корневик откажет в обслуживании или все откажут, что тогда делать будем? Это серьезная проблема, как по мне. Раньше ничего подобного не наблюдалось. Link to post Share on other sites
KaYot 3,738 Posted 2016-10-05 04:09:51 Share Posted 2016-10-05 04:09:51 Где-то у вас с настройками беда. Корневая зона должна быть описана с помощью того самого named.root, а не конкретным IP. Тогда бы вы не заметили никаких проблем, как и весь остальной мир, ибо там корневых прописано 2 десятка. Ну и сам файлик нужно время от времени обновлять, сервера иногда меняются. Link to post Share on other sites
Ajar 94 Posted 2016-10-05 04:13:27 Share Posted 2016-10-05 04:13:27 один из f-root серверов был на профилактике недавно, совпадение ? Link to post Share on other sites
Baneff 167 Posted 2016-10-05 06:13:52 Author Share Posted 2016-10-05 06:13:52 один из f-root серверов был на профилактике недавно, совпадение ? Да, речь идёт именно о F-сервере. Но там-же на одном IP обещали несколько физически разнесённых серверов в зеркале и профилактика одного из них не должна была вообще быть заметной. Или это была профилактика всех серверов в зеркале одновременно? Link to post Share on other sites
Baneff 167 Posted 2016-10-05 06:25:33 Author Share Posted 2016-10-05 06:25:33 Где-то у вас с настройками беда. Корневая зона должна быть описана с помощью того самого named.root, а не конкретным IP. Тогда бы вы не заметили никаких проблем, как и весь остальной мир, ибо там корневых прописано 2 десятка. Ну и сам файлик нужно время от времени обновлять, сервера иногда меняются. Да, вы оказались правы. Этому намеду очень много лет и его настройки никто не трогал за всё это время по принципу: работает - не трогай. Посмотрел вот в шаблон конфига нового намеда и обнаружил там фрагмент, приведённый ниже. То есть метод, который прописан у меня в новом шаблоне закоментирован и не рекомендуется, соответственно метод, о котором говорите вы - установлен в качестве дефолтного и рекомендован. Так что вопрос можно считать исчерпаным, всё уже ясно, спасибо. Но, если у кого сохранились как у меня старые настройки, то стоит переделать конфиг, а то может быть мучительно больно в какой-то момент. // The traditional root hints mechanism. Use this, OR the slave zones below. zone "." { type hint; file "%%ETCDIR%%/named.root"; }; /* Slaving the following zones from the root name servers has some significant advantages: 1. Faster local resolution for your users 2. No spurious traffic will be sent from your network to the roots 3. Greater resilience to any potential root server failure/DDoS On the other hand, this method requires more monitoring than the hints file to be sure that an unexpected failure mode has not incapacitated your server. Name servers that are serving a lot of clients will benefit more from this approach than individual hosts. Use with caution. To use this mechanism, uncomment the entries below, and comment the hint zone above. As documented at http://dns.icann.org/services/axfr/ these zones: "." (the root), ARPA, IN-ADDR.ARPA, IP6.ARPA, and ROOT-SERVERS.NET are available for AXFR from these servers on IPv4 and IPv6: xfr.lax.dns.icann.org, xfr.cjr.dns.icann.org */ /* zone "." { type slave; file "%%ETCDIR%%/slave/root.slave"; masters { 192.5.5.241; // F.ROOT-SERVERS.NET. }; notify no; }; zone "arpa" { type slave; file "%%ETCDIR%%/slave/arpa.slave"; masters { 192.5.5.241; // F.ROOT-SERVERS.NET. }; notify no; }; */ Link to post Share on other sites
Ajar 94 Posted 2016-10-05 06:42:07 Share Posted 2016-10-05 06:42:07 один из f-root серверов был на профилактике недавно, совпадение ? Да, речь идёт именно о F-сервере. Но там-же на одном IP обещали несколько физически разнесённых серверов в зеркале и профилактика одного из них не должна была вообще быть заметной. Или это была профилактика всех серверов в зеркале одновременно? майнтенс естественно делается по одному ... Link to post Share on other sites
Ajar 94 Posted 2016-10-05 08:39:11 Share Posted 2016-10-05 08:39:11 i.root или e.root ставьте , это ближайшие сервера в Украине Link to post Share on other sites
GOOSE.KM 83 Posted 2016-10-05 08:42:04 Share Posted 2016-10-05 08:42:04 цитата из UANOG: Всем привет, F.ROOT-SERVERS.NET не дает вытянуть с него корневую зону, если кто-то использует такую конструкцию - то надо поменять адрес сервера. В первую очередь касается фри zone "." { type slave; file "/usr/local/etc/namedb/slave/root.slave"; masters { 192.5.5.241; // F.ROOT-SERVERS.NET. }; notify no; }; zone "arpa" { type slave; file "/usr/local/etc/namedb/slave/arpa.slave"; masters { 192.5.5.241; // F.ROOT-SERVERS.NET. }; notify no; }; Link to post Share on other sites
Baneff 167 Posted 2016-10-05 09:13:39 Author Share Posted 2016-10-05 09:13:39 i.root или e.root ставьте , это ближайшие сервера в Украине Я поставил как рекомендовано в шаблоне named.conf, то есть: zone "." { type hint; file "%%ETCDIR%%/named.root"; }; А что, указание конкретных серверов чем-то лучше по сравнению с этим механизмом? Использование named.root чем-то чревато? Link to post Share on other sites
KaYot 3,738 Posted 2016-10-05 10:11:25 Share Posted 2016-10-05 10:11:25 Вручную можно поставить сервер с меньшим пингом(европейский), а дефолтно они будут использоваться случайным образом из файла. Один фиг в принципе, все равно обращения в корень редки. Link to post Share on other sites
xnet.com.ua 20 Posted 2016-10-05 11:30:16 Share Posted 2016-10-05 11:30:16 до речі оновлювати треба періодично звідси наприклад: ftp://ftp.internic.net/domain/named.root Link to post Share on other sites
Baneff 167 Posted 2016-10-05 11:39:22 Author Share Posted 2016-10-05 11:39:22 до речі оновлювати треба періодично звідси наприклад: ftp://ftp.internic.net/domain/named.root У меня named.root лежал в папочке 2003-го года издания. И ничего, поднялось, по крайней мере один рабочий сервер нашёлся. Теперь вот только обновил. Так что наверное таки лучше использовать подсказки из named.root, чем прямое указание сервера. По крайней мере надёжнее. Link to post Share on other sites
Ajar 94 Posted 2016-10-07 07:19:12 Share Posted 2016-10-07 07:19:12 Отписали с ISC , f.root украинский по-ремонтировали. Link to post Share on other sites
Baneff 167 Posted 2016-10-07 08:03:08 Author Share Posted 2016-10-07 08:03:08 Отписали с ISC , f.root украинский по-ремонтировали. Спасибо, но осадочек-то остался. Я, например, люблю ночью спать, а не поднимать отказавшую систему. Так что, пусть уж лучше будет хинтовая корневая зона, намед сам разберётся откуда конкретно тянуть если опять какой облом случится. Ну а то, что f.root ближе и быстрее, то не думаю, что это так уж важно для быстродействия системы в целом, надёжность важнее. Link to post Share on other sites
Ajar 94 Posted 2016-10-07 08:10:17 Share Posted 2016-10-07 08:10:17 i.root ставьте , он то-же близко стоит. Вообще это косяк ISC , чет недомайнтенили они с украинской нодой - kbp1a.f.root-servers.org Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now