Baneff 149 Опубликовано: 2016-10-04 23:32:12 Share Опубликовано: 2016-10-04 23:32:12 Всем привет. Сегодня ночью перестали ресолвится имена, соответственно всё полегло. Кинулся смотреть логи намеда, а там такое: 05-Oct-2016 00:52:50.025 general: warning: zone arpa/IN: expired 05-Oct-2016 00:52:50.025 general: warning: zone ./IN: expired 05-Oct-2016 00:53:20.029 general: info: zone arpa/IN: refresh: retry limit for master 192.5.5.241#53 exceeded 05-Oct-2016 00:53:20.029 general: info: zone arpa/IN: Transfer started. 05-Oct-2016 00:53:20.037 xfer-in: error: transfer of 'arpa/IN' from 192.5.5.241#53: failed to connect: connection refused 05-Oct-2016 00:53:20.037 xfer-in: info: transfer of 'arpa/IN' from 192.5.5.241#53: Transfer status: connection refused 05-Oct-2016 00:53:20.037 xfer-in: info: transfer of 'arpa/IN' from 192.5.5.241#53: Transfer completed: 0 messages, 0 records, 0 bytes, 0.007 secs (0 bytes/sec) 05-Oct-2016 00:53:20.534 general: info: zone ./IN: refresh: retry limit for master 192.5.5.241#53 exceeded 05-Oct-2016 00:53:20.534 general: info: zone ./IN: Transfer started. 05-Oct-2016 00:53:20.541 xfer-in: error: transfer of './IN' from 192.5.5.241#53: failed to connect: connection refused 05-Oct-2016 00:53:20.541 xfer-in: info: transfer of './IN' from 192.5.5.241#53: Transfer status: connection refused 05-Oct-2016 00:53:20.541 xfer-in: info: transfer of './IN' from 192.5.5.241#53: Transfer completed: 0 messages, 0 records, 0 bytes, 0.007 secs (0 bytes/sec) То есть протухли обе корневые зоны, а обновить их невозможно, поскольку корневой сервер 192.5.5.241 отвергает соединение. Именно этот сервер прописан по умолчанию в конфиге намеда, ну никто его и не трогал и работало всё много лет без проблем. Поменял в конфиге намеда этот сервер на другой - всё поднялось сразу без проблем. Так что это было кто-нибудь в курсе? Я что-то пропустил? Или это уже начались последствия того, что "США передали техфункции контроля над интернетом международному сообществу"? Ссылка на сообщение Поделиться на других сайтах
supportod 1 Опубліковано: 2016-10-05 00:28:18 Share Опубліковано: 2016-10-05 00:28:18 А вы посмотрите у себя файлик named.root. Ведь там еще куча корневых серверов. Ссылка на сообщение Поделиться на других сайтах
Baneff 149 Опубліковано: 2016-10-05 01:36:49 Автор Share Опубліковано: 2016-10-05 01:36:49 А вы посмотрите у себя файлик named.root. Ведь там еще куча корневых серверов. Да, я и посмотрел, выбрал оттуда IP адрес другого корневого сервера и прописал его в named.conf вместо дефолтного 192.5.5.241. Как я уже говорил, в результате всё заработало. Но ведь вопрос-то остался. Что это было? А может завтра и второй корневик откажет в обслуживании или все откажут, что тогда делать будем? Это серьезная проблема, как по мне. Раньше ничего подобного не наблюдалось. Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2016-10-05 04:09:51 Share Опубліковано: 2016-10-05 04:09:51 Где-то у вас с настройками беда. Корневая зона должна быть описана с помощью того самого named.root, а не конкретным IP. Тогда бы вы не заметили никаких проблем, как и весь остальной мир, ибо там корневых прописано 2 десятка. Ну и сам файлик нужно время от времени обновлять, сервера иногда меняются. Ссылка на сообщение Поделиться на других сайтах
Ajar 92 Опубліковано: 2016-10-05 04:13:27 Share Опубліковано: 2016-10-05 04:13:27 один из f-root серверов был на профилактике недавно, совпадение ? Ссылка на сообщение Поделиться на других сайтах
Baneff 149 Опубліковано: 2016-10-05 06:13:52 Автор Share Опубліковано: 2016-10-05 06:13:52 один из f-root серверов был на профилактике недавно, совпадение ? Да, речь идёт именно о F-сервере. Но там-же на одном IP обещали несколько физически разнесённых серверов в зеркале и профилактика одного из них не должна была вообще быть заметной. Или это была профилактика всех серверов в зеркале одновременно? Ссылка на сообщение Поделиться на других сайтах
Baneff 149 Опубліковано: 2016-10-05 06:25:33 Автор Share Опубліковано: 2016-10-05 06:25:33 Где-то у вас с настройками беда. Корневая зона должна быть описана с помощью того самого named.root, а не конкретным IP. Тогда бы вы не заметили никаких проблем, как и весь остальной мир, ибо там корневых прописано 2 десятка. Ну и сам файлик нужно время от времени обновлять, сервера иногда меняются. Да, вы оказались правы. Этому намеду очень много лет и его настройки никто не трогал за всё это время по принципу: работает - не трогай. Посмотрел вот в шаблон конфига нового намеда и обнаружил там фрагмент, приведённый ниже. То есть метод, который прописан у меня в новом шаблоне закоментирован и не рекомендуется, соответственно метод, о котором говорите вы - установлен в качестве дефолтного и рекомендован. Так что вопрос можно считать исчерпаным, всё уже ясно, спасибо. Но, если у кого сохранились как у меня старые настройки, то стоит переделать конфиг, а то может быть мучительно больно в какой-то момент. // The traditional root hints mechanism. Use this, OR the slave zones below. zone "." { type hint; file "%%ETCDIR%%/named.root"; }; /* Slaving the following zones from the root name servers has some significant advantages: 1. Faster local resolution for your users 2. No spurious traffic will be sent from your network to the roots 3. Greater resilience to any potential root server failure/DDoS On the other hand, this method requires more monitoring than the hints file to be sure that an unexpected failure mode has not incapacitated your server. Name servers that are serving a lot of clients will benefit more from this approach than individual hosts. Use with caution. To use this mechanism, uncomment the entries below, and comment the hint zone above. As documented at http://dns.icann.org/services/axfr/ these zones: "." (the root), ARPA, IN-ADDR.ARPA, IP6.ARPA, and ROOT-SERVERS.NET are available for AXFR from these servers on IPv4 and IPv6: xfr.lax.dns.icann.org, xfr.cjr.dns.icann.org */ /* zone "." { type slave; file "%%ETCDIR%%/slave/root.slave"; masters { 192.5.5.241; // F.ROOT-SERVERS.NET. }; notify no; }; zone "arpa" { type slave; file "%%ETCDIR%%/slave/arpa.slave"; masters { 192.5.5.241; // F.ROOT-SERVERS.NET. }; notify no; }; */ Ссылка на сообщение Поделиться на других сайтах
Ajar 92 Опубліковано: 2016-10-05 06:42:07 Share Опубліковано: 2016-10-05 06:42:07 один из f-root серверов был на профилактике недавно, совпадение ? Да, речь идёт именно о F-сервере. Но там-же на одном IP обещали несколько физически разнесённых серверов в зеркале и профилактика одного из них не должна была вообще быть заметной. Или это была профилактика всех серверов в зеркале одновременно? майнтенс естественно делается по одному ... Ссылка на сообщение Поделиться на других сайтах
Ajar 92 Опубліковано: 2016-10-05 08:39:11 Share Опубліковано: 2016-10-05 08:39:11 i.root или e.root ставьте , это ближайшие сервера в Украине Ссылка на сообщение Поделиться на других сайтах
GOOSE.KM 83 Опубліковано: 2016-10-05 08:42:04 Share Опубліковано: 2016-10-05 08:42:04 цитата из UANOG: Всем привет, F.ROOT-SERVERS.NET не дает вытянуть с него корневую зону, если кто-то использует такую конструкцию - то надо поменять адрес сервера. В первую очередь касается фри zone "." { type slave; file "/usr/local/etc/namedb/slave/root.slave"; masters { 192.5.5.241; // F.ROOT-SERVERS.NET. }; notify no; }; zone "arpa" { type slave; file "/usr/local/etc/namedb/slave/arpa.slave"; masters { 192.5.5.241; // F.ROOT-SERVERS.NET. }; notify no; }; Ссылка на сообщение Поделиться на других сайтах
Baneff 149 Опубліковано: 2016-10-05 09:13:39 Автор Share Опубліковано: 2016-10-05 09:13:39 i.root или e.root ставьте , это ближайшие сервера в Украине Я поставил как рекомендовано в шаблоне named.conf, то есть: zone "." { type hint; file "%%ETCDIR%%/named.root"; }; А что, указание конкретных серверов чем-то лучше по сравнению с этим механизмом? Использование named.root чем-то чревато? Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2016-10-05 10:11:25 Share Опубліковано: 2016-10-05 10:11:25 Вручную можно поставить сервер с меньшим пингом(европейский), а дефолтно они будут использоваться случайным образом из файла. Один фиг в принципе, все равно обращения в корень редки. Ссылка на сообщение Поделиться на других сайтах
xnet.com.ua 20 Опубліковано: 2016-10-05 11:30:16 Share Опубліковано: 2016-10-05 11:30:16 до речі оновлювати треба періодично звідси наприклад: ftp://ftp.internic.net/domain/named.root Ссылка на сообщение Поделиться на других сайтах
Baneff 149 Опубліковано: 2016-10-05 11:39:22 Автор Share Опубліковано: 2016-10-05 11:39:22 до речі оновлювати треба періодично звідси наприклад: ftp://ftp.internic.net/domain/named.root У меня named.root лежал в папочке 2003-го года издания. И ничего, поднялось, по крайней мере один рабочий сервер нашёлся. Теперь вот только обновил. Так что наверное таки лучше использовать подсказки из named.root, чем прямое указание сервера. По крайней мере надёжнее. Ссылка на сообщение Поделиться на других сайтах
Ajar 92 Опубліковано: 2016-10-07 07:19:12 Share Опубліковано: 2016-10-07 07:19:12 Отписали с ISC , f.root украинский по-ремонтировали. Ссылка на сообщение Поделиться на других сайтах
Baneff 149 Опубліковано: 2016-10-07 08:03:08 Автор Share Опубліковано: 2016-10-07 08:03:08 Отписали с ISC , f.root украинский по-ремонтировали. Спасибо, но осадочек-то остался. Я, например, люблю ночью спать, а не поднимать отказавшую систему. Так что, пусть уж лучше будет хинтовая корневая зона, намед сам разберётся откуда конкретно тянуть если опять какой облом случится. Ну а то, что f.root ближе и быстрее, то не думаю, что это так уж важно для быстродействия системы в целом, надёжность важнее. Ссылка на сообщение Поделиться на других сайтах
Ajar 92 Опубліковано: 2016-10-07 08:10:17 Share Опубліковано: 2016-10-07 08:10:17 i.root ставьте , он то-же близко стоит. Вообще это косяк ISC , чет недомайнтенили они с украинской нодой - kbp1a.f.root-servers.org Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас