none
SBS 2011 Internet bloccata da forte traffico DNS RRS feed

  • Domanda

  • Vorrei un vostro parere sulla risoluzione (parziale) di un problema che mi è capitato su un SBS 2011

    Già da diverse settimane riscontravo forti rallentamenti nella navigazione internet, che si verificavano in maniera saltuaria ed irregolare e che arrivavano al completo blocco.

    Da alcune prove preliminari avevo imputato la colpa al router datomi in comodato dal gestore, infatti i client navigavano lentamente sia con la loro configurazione originale (computer in dominio) che con configurazioni di rete che bypassavano il DNS del server, pertanto ho fatto intervenire loro.

    Il tecnico ha controllato i log dell'apparato, riscontrando un forte traffico sulla porta 53 UDP (normalmente usata per le query DNS) che si verificava solo quando il server era collegato alla rete. Scollegandolo (e configurando i client per interrogare DNS esterni), tale traffico non si presentava e dei Ping lanciati verso un IP esterno passavano da un tempo di risposta medio di 50 ms ad una costante di 5-600 ms (quando non andavano in timeout).

    Il comando Netstat -ano sul server, e con altre utility ho riscontrato che l'unico processo che usava quella porta era, ovviamente, DNS.exe, solo che rispetto ad altri server su cui ho fatto la prova, questo server genera molto più traffico. Resettare il servizio "Server DNS" era l'unico modo per sbloccare la navigazione, ma il problema ricompariva pochi minuti dopo.

    Ho lanciato scansioni antivirus e antimalware su tutte le macchine (server incluso) ma non ho trovato nessuna minaccia attiva.

    Ho provato a cambiare i server di inoltro del DNS, impostando prima quelli alternativi del gestore, poi quelli di Google ed infine quelli di OpenDNS, ma la situazione non cambiava.

    L'unica operazione che ha sortito qualche effetto stabile (finora) è stato disabilitare l'uso dei parametri radice nella sezione dei server di inoltro, ma non mi spiego il perché e, soprattutto, il traffico risulta comunque più elevato del normale, pur non arrivando al punto di bloccare la navigazione. Tanto per capire, il Ping verso IP esterni si attesta sempre intorno ai 100-200 ms, contro i 50-100 che vedo da altri clienti.


    martedì 10 settembre 2013 13:54

Risposte

Tutte le risposte

  • verifica che la ricorsione sia disabilitata e se non lo è disabilitala

    http://technet.microsoft.com/it-it/library/cc771738.aspx


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    mercoledì 11 settembre 2013 07:47
    Moderatore
  • verifica che la ricorsione sia disabilitata e se non lo è disabilitala

    http://technet.microsoft.com/it-it/library/cc771738.aspx


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    Fatto, ora vediamo come va.

    Una curiosità. La ricorsione di base è abilitata su tutti i DNS che ho visto. Quando è utile lasciarla tale e quando va, invece disabilitata?

    Per esempio, i server SBS che gestisco sono tutti server "interni", che espongono all'esterno solo servizi strettamente necessari come OWA o ma, ovviamente, sono controller di dominio. Posso disabilitare tranquillamente la ricorsione su tutti questi server?

    mercoledì 11 settembre 2013 13:28
  • attenzione, leggi bene questo

    http://wiki.answers.com/Q/What_does_Disable_Recursion_in_DNS_mean


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    mercoledì 11 settembre 2013 13:52
    Moderatore
  • attenzione, leggi bene questo

    http://wiki.answers.com/Q/What_does_Disable_Recursion_in_DNS_mean


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    Ora è più chiaro. Nell'articolo si parla di due parametri di Ricorsività, uno presente nella lista dei forward server e uno delle proprietà avanzate. Nel pannello che vedo io in SBS2011, nel tab dei server d'inoltro non c'è alcun parametro di ricorsività, ma solo la spunta per l'utilizzo dei parametri radice (root hints). Da quanto capisco è solo questa spunta che va tolta per disabilitare la ricorsività (che è quella che avevo già tolto e che effettivamente aveva risolto il problema). Non va messa la spunta alla voce "Disattiva query ricorsiva" nel tab "avanzate" perché altrimenti il server non inoltra le query anche se non può risolverle.

    In effetti il nome completo della voce è "Disattiva query ricorsiva (disattiva anche i server d'inoltro)" e la cosa mi aveva insospettito, ma essendo l'unico riferimento alla ricorsività, ho provato lo stesso. Vado a toglierla prima che mi chiamino per lamentarsi che non navigano più, se non sui siti già presenti nel database.

    C'è da dire che questo è il primo articolo in cui vedo fare questa distinzione. Finora ho sempre letto di una generale "ricorsività" ma nessuno specificava l'effettivo effetto dei parametri. Persino l'articolo su TechNet che mi avevi indicato prima faceva chiaro riferimento alla ricorsività "sbagliata", e senza possibilità di mal interpretare, perché dice chiaramente di andare nel tab "Avanzate" e mettere la spunta su "Disabilita ricorsività".

    Grazie per il chiarimento


    mercoledì 11 settembre 2013 16:34
  • grazie a te del feedback, ciao.

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    giovedì 12 settembre 2013 07:08
    Moderatore