Перейти до

А что это было с корневым DNS 192.5.5.241, который F.ROOT-SERVERS.NET ?


Рекомендованные сообщения

Всем привет.

Сегодня ночью перестали ресолвится имена, соответственно всё полегло.

Кинулся смотреть логи намеда, а там такое:

05-Oct-2016 00:52:50.025 general: warning: zone arpa/IN: expired
05-Oct-2016 00:52:50.025 general: warning: zone ./IN: expired
05-Oct-2016 00:53:20.029 general: info: zone arpa/IN: refresh: retry limit for master 192.5.5.241#53 exceeded
05-Oct-2016 00:53:20.029 general: info: zone arpa/IN: Transfer started.
05-Oct-2016 00:53:20.037 xfer-in: error: transfer of 'arpa/IN' from 192.5.5.241#53: failed to connect: connection refused
05-Oct-2016 00:53:20.037 xfer-in: info: transfer of 'arpa/IN' from 192.5.5.241#53: Transfer status: connection refused
05-Oct-2016 00:53:20.037 xfer-in: info: transfer of 'arpa/IN' from 192.5.5.241#53: Transfer completed: 0 messages, 0 records, 0 bytes, 0.007 secs (0 bytes/sec)
05-Oct-2016 00:53:20.534 general: info: zone ./IN: refresh: retry limit for master 192.5.5.241#53 exceeded
05-Oct-2016 00:53:20.534 general: info: zone ./IN: Transfer started.
05-Oct-2016 00:53:20.541 xfer-in: error: transfer of './IN' from 192.5.5.241#53: failed to connect: connection refused
05-Oct-2016 00:53:20.541 xfer-in: info: transfer of './IN' from 192.5.5.241#53: Transfer status: connection refused
05-Oct-2016 00:53:20.541 xfer-in: info: transfer of './IN' from 192.5.5.241#53: Transfer completed: 0 messages, 0 records, 0 bytes, 0.007 secs (0 bytes/sec)

То есть протухли обе корневые зоны, а обновить их невозможно, поскольку корневой сервер 192.5.5.241 отвергает соединение.

Именно этот сервер прописан по умолчанию в конфиге намеда, ну никто его и не трогал и работало всё много лет без проблем. Поменял в конфиге намеда этот сервер на другой - всё поднялось сразу без проблем.

Так что это было кто-нибудь в курсе? Я что-то пропустил? Или это уже начались последствия того, что "США передали техфункции контроля над интернетом международному сообществу"?

Ссылка на сообщение
Поделиться на других сайтах

А вы посмотрите у себя файлик named.root. Ведь там еще куча корневых серверов.

Да, я и посмотрел, выбрал оттуда IP адрес другого корневого сервера и прописал его в named.conf вместо дефолтного 192.5.5.241. Как я уже говорил, в результате всё заработало. Но ведь вопрос-то остался. Что это было? А может завтра и второй корневик откажет в обслуживании или все откажут, что тогда делать будем? Это серьезная проблема, как по мне. Раньше ничего подобного не наблюдалось.

Ссылка на сообщение
Поделиться на других сайтах

Где-то у вас с настройками беда.

Корневая зона должна быть описана с помощью того самого named.root, а не конкретным IP. Тогда бы вы не заметили никаких проблем, как и весь остальной мир, ибо там корневых прописано 2 десятка.

Ну и сам файлик нужно время от времени обновлять, сервера иногда меняются.

Ссылка на сообщение
Поделиться на других сайтах

один из f-root серверов был на профилактике недавно, совпадение ?

Да, речь идёт именно о F-сервере. Но там-же на одном IP обещали несколько физически разнесённых серверов в зеркале и профилактика одного из них не должна была вообще быть заметной. Или это была профилактика всех серверов в зеркале одновременно?

Ссылка на сообщение
Поделиться на других сайтах

Где-то у вас с настройками беда.

Корневая зона должна быть описана с помощью того самого named.root, а не конкретным IP. Тогда бы вы не заметили никаких проблем, как и весь остальной мир, ибо там корневых прописано 2 десятка.

Ну и сам файлик нужно время от времени обновлять, сервера иногда меняются.

Да, вы оказались правы. Этому намеду очень много лет и его настройки никто не трогал за всё это время по принципу: работает - не трогай. Посмотрел вот в шаблон конфига нового намеда и обнаружил там фрагмент, приведённый ниже. То есть метод, который прописан у меня в новом шаблоне закоментирован и не рекомендуется, соответственно метод, о котором говорите вы - установлен в качестве дефолтного и рекомендован.

Так что вопрос можно считать исчерпаным, всё уже ясно, спасибо. Но, если у кого сохранились как у меня старые настройки, то стоит переделать конфиг, а то может быть мучительно больно в какой-то момент.

// The traditional root hints mechanism. Use this, OR the slave zones below.
zone "." { type hint; file "%%ETCDIR%%/named.root"; };

/*      Slaving the following zones from the root name servers has some
        significant advantages:
        1. Faster local resolution for your users
        2. No spurious traffic will be sent from your network to the roots
        3. Greater resilience to any potential root server failure/DDoS

        On the other hand, this method requires more monitoring than the
        hints file to be sure that an unexpected failure mode has not
        incapacitated your server.  Name servers that are serving a lot
        of clients will benefit more from this approach than individual
        hosts.  Use with caution.

        To use this mechanism, uncomment the entries below, and comment
        the hint zone above.

        As documented at http://dns.icann.org/services/axfr/ these zones:
        "." (the root), ARPA, IN-ADDR.ARPA, IP6.ARPA, and ROOT-SERVERS.NET
        are available for AXFR from these servers on IPv4 and IPv6:
        xfr.lax.dns.icann.org, xfr.cjr.dns.icann.org
*/
/*
zone "." {
        type slave;
        file "%%ETCDIR%%/slave/root.slave";
        masters {
                192.5.5.241;    // F.ROOT-SERVERS.NET.
        };
        notify no;
};
zone "arpa" {
        type slave;
        file "%%ETCDIR%%/slave/arpa.slave";
        masters {
                192.5.5.241;    // F.ROOT-SERVERS.NET.
        };
        notify no;
};
*/
Ссылка на сообщение
Поделиться на других сайтах

 

один из f-root серверов был на профилактике недавно, совпадение ?

Да, речь идёт именно о F-сервере. Но там-же на одном IP обещали несколько физически разнесённых серверов в зеркале и профилактика одного из них не должна была вообще быть заметной. Или это была профилактика всех серверов в зеркале одновременно?

 

майнтенс естественно делается  по одному  ... 

Ссылка на сообщение
Поделиться на других сайтах

цитата из UANOG:

 

Всем привет, 

F.ROOT-SERVERS.NET не дает вытянуть с него корневую зону, если кто-то использует такую конструкцию - то надо поменять адрес сервера. В первую очередь касается фри

 

zone "." {

        type slave;

        file "/usr/local/etc/namedb/slave/root.slave";

        masters {

                192.5.5.241;    // F.ROOT-SERVERS.NET.

        };

        notify no;

};

zone "arpa" {

        type slave;

        file "/usr/local/etc/namedb/slave/arpa.slave";

        masters {

                192.5.5.241;    // F.ROOT-SERVERS.NET.

        };

        notify no;

};

Ссылка на сообщение
Поделиться на других сайтах

i.root или e.root  ставьте , это ближайшие сервера  в Украине 

Я поставил как рекомендовано в шаблоне named.conf, то есть:

zone "." { type hint; file "%%ETCDIR%%/named.root"; };

А что, указание конкретных серверов чем-то лучше по сравнению с этим механизмом? Использование named.root чем-то чревато?

Ссылка на сообщение
Поделиться на других сайтах

Вручную можно поставить сервер с меньшим пингом(европейский), а дефолтно они будут использоваться случайным образом из файла. Один фиг в принципе, все равно обращения в корень редки.

Ссылка на сообщение
Поделиться на других сайтах

 

до речі оновлювати треба періодично
звідси наприклад:

 

У меня named.root лежал в папочке 2003-го года издания. И ничего, поднялось, по крайней мере один рабочий сервер нашёлся. Теперь вот только обновил. Так что наверное таки лучше использовать подсказки из named.root, чем прямое указание сервера. По крайней мере надёжнее.

Ссылка на сообщение
Поделиться на других сайтах

Отписали с ISC ,  f.root  украинский  по-ремонтировали.

Спасибо, но осадочек-то остался. Я, например, люблю ночью спать, а не поднимать отказавшую систему. Так что, пусть уж лучше будет хинтовая корневая зона, намед сам разберётся откуда конкретно тянуть если опять какой облом случится. Ну а то, что f.root ближе и быстрее, то не думаю, что это так уж важно для быстродействия системы в целом, надёжность важнее.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...