none
server 2008r2 padající dns cname záznamy při dotazu serveru RRS feed

  • Dotaz

  • Dobrý den Všem,

    máme dva DC servery 2012r2 a 2008r2 který budeme letos měnit. Pár měsíců zpět začal ten s 2008r2 mít problém s cname záznamy a to tak, že pokud jste se dotazovali z PC jen tohoto serveru na cname jméno jiného serveru(ne jeho skutečné), nedostali jste odpověď. Přitom přímo na tom serveru ping na cname záznam funguje. Bohužel už se stalo, že toto zkopíroval i ten druhý, popř. smazal i cname záznam.

    Někdy pomůže restart DC serveru 2008, ale to není řešení. Když na PC zadám ipconfig /flushDNS a /registerdns tak to pár sekund drží, nebo nefunguje celý název ping cname_jmeno.domena.cz, ale funguje ping cname_jmeno. Už se s tím někdo prosím setkal? Předem děkuji za rady.

    pátek 10. ledna 2020 7:18

Odpovědi

  • Aha, tak uz jsme asi doma.

    Problem se jmenuje negativni DNS cache. Tj . PC se pta 8.8.8.8 na CNAME, ktery je ale zapsany jen v lokalnim DNS na DC. Google logicky odpovi - nemame/neznam. PC si tuto informaci ulozi do negativni cache = nekolik minut VI, ze takovy zaznam neexistuje a o dalsi pokusy to zjistit se nesnazi.

    Proto ping na CNAME.domena.cz rika, ze to nejde, NSLOOKUP na DC DNS rika, ze ok, protoze DNS cache nepouziva, ale pta se primo vybraneho DNS. Pri pingu na kratke CNAME se pravdepodobne jeste zkusi i jina technologie, nez DNS (broadcast, SSDP atp), proto je vysledek lepsi.

    Negativni cache lze vypnout viz treba https://www.petri.com/preventing_caching_of_failed_dns_lookups, nebo smazat (ipconfig /flushdns) , ale je to v danem pripade workaround. RYCHLE vyhazet 8.8.8.8 a jine smeti z nastaveni TCP - viz vyse.



    středa 15. ledna 2020 7:09

Všechny reakce

  • V logu DNS nic?

    DNS je ad integrated + caching nameserver (s relayovanim pres root servers)? Zadne forwardery a podobna zverstva?

    MP

    pátek 10. ledna 2020 9:23
    Moderátor
  • V logu u obou u DNS serverů není nic užitečného, jen párkrát za měsíc tam čeká na synchronizaci

    Servery jsou konfigurovány ještě od mých předchůdců, pár se jich na mém místě vystřídalo.
    DC0 win server2012r2 jede v eng (hyper-v virtuálka), DC1 server 2008r2 jede v cz (fyzický server), na tom DC0 je hlavní dc+katalog,
    Konfiguraci DNS mají cca stejnou, více DNS serverů není.
    Na obou je zaplý round robin/kruhové dotazování, řazení dle síťové masky a zajištění mezipaměti proti znečištění, na 2012 je i enable DNSSEC validation...
    Promazávají se staré záznamy co 15min, aktualizuje se co 5min.
    Zone transfer povolen není, pro dopředné vyhledávání/forward lookup se používá WINS.
    Odkazy na kořenové servery jsou promazané až na 3 IP(původně tam nechali jeden).
    Forwarders/servery pro předávání jsou u obou dva servery od O2 (dnsnest1.o2isp.cz), protože máme net od O2 a spravují nám i vnější cisco routery a NGFW.
    pátek 10. ledna 2020 10:15
  • korenovych serveru je 13

    forwardery padaji. padaly googlu (8.8.8.8), O2 budou padat casteji. IMHO je to nerozum. 

    MP

    pátek 10. ledna 2020 19:52
    Moderátor
  • "korenovych serveru je 13" - bohužel jeden z mých předchůdců všechny kdoví proč promazal až na jeden, takže co to začalo blbnout a tohohle jsem si všimla, tak jsem tam zpět nacpala ještě dva - ale nemělo to na nic vliv.

    Nemáme problém dostat se z vnitřní sítě na vnější internet.
    Naopak padá vyhledávání serverů ve vnitřní síti, to by žádné směrování ven nemělo používat.

    Doslova nefunguje, pokud chceme použít webovky ve vnitřní síti, protože nelze nalézt cestu.
    když se zeptám ping dc0 - dostanu správnou IP, když se zeptám ping dc1.domena.cz jsou často počítače zmateny, největší chaoz nastává, jak se zeptám ping cname_jméno.domena.cz, někdy to běží úplně v poho, a odpovídá správnou vnitřní adresou, ale pokud to začne blbnout, nabízí mi zničehož nic venkovní IP a cíl ve vnitřní síti nenajde. Takže tím pádem ani https://webovky.domena.cz/databáze také nefunguje.

    Jediné fungující řešení je zatím natvrdo nacpat do hosts ip a celé jména vnitřních serverů, to ale neřeší problém na pár noteboocích, které zvenku a zevniř sítě používají rozdílné IP.

    Blbne to jak na Win7 tak i W10, některé pevné PC mají už v síti svou IP natvrdo a 8.8.8.8 mají danou také jako DNS. Na DHCP máme nastaveno, že dynamické IP budou přidělovány s DNS nejprve tu, kde je stabilnější, bohužel už se stalo, že tu chybu jakoby zkopíroval i druhý dns server.

    Nevím, zdali mohu forwardes jen tak smazat, máme naši síť přes O2 propojenou tunelem spolu s dalšími sítěmi přes jejich cisco routery. Nerada bych to celé rozbila. Každopádně, pokud by tyto servery nefungovaly, je tam zatrhnuto použítí root serverů.


    • Upravený Lenka J pondělí 13. ledna 2020 7:06
    pondělí 13. ledna 2020 6:56
  • "Blbne to jak na Win7 tak i W10, některé pevné PC mají už v síti svou IP natvrdo a 8.8.8.8 mají danou také jako DNS. " - stanice NESMÍ mít veřejný DNS server.

    "když se zeptám ping dc0 - dostanu správnou IP, když se zeptám ping dc1.domena.cz jsou často počítače zmateny, největší chaoz nastává, jak se zeptám ping cname_jméno.domena.cz, " - když Tě zajímají odpovědi na DNS dotazy, tak musíš použít NSLOOKUP, ne ping.


    BB

    pondělí 13. ledna 2020 8:32
  • Posledni "velky" popis situace jednoznacne vede k tomu, ze stanice, nebo servery pouzivaji i jine nez DC DNS servery.

    OKAMZITE napravit. Jedine DNS servery, ktere vsichni clenove domeny maji pouzivat, jsou DC0 a DC1. Dokud to tak nebude, nema smysl pokracovat v dalsim reseni.

    95% procent beznych problemu s domenou je zakleto v DNS.


    pondělí 13. ledna 2020 9:11
  • NSLOOKUP sice řekne, že pro něj cname.domena.cz existuje, ale jen ping na toto mi prozradí, že je něco špatně, protože to nefunguje jen tehdy, když mi přestane fungovat https://cname.domena.cz/databaze a je tato adresa z vnitřní sítě nedostupná.

    Ohledně toho, že stanice nesmí mít veřejný DNS server, je podivné, že výpadky postihují i PC s dynamickou IP, které v ní mají jen dc0 a dc1. Každopádně tohle otestuji, a až bude další výpadek, pustím zkušební NB jen na dc1, jestli to bude mít nějaký vliv.

    úterý 14. ledna 2020 6:55
  • Se mi zda, ze se zamenuje pricina a nasledek.

    OK. Mam PC, ktere jako DNS server pouziva DC0 a DC1. NSLookup nevrati pozadovany zaznam. Je v TOMTO okamziku v DNS serveru na na DC0 i DC1 pozadaovany zaznam?

    IMHO nebude. Nebo bude jenom v jednom = problemy synchronizace domeny.

    Zjisti, potvrd/vyvrat vyse uvede.

    úterý 14. ledna 2020 7:58
  • cname záznamy jsou správně nastavené na obou DNS serverech, pravidelně už to také kontroluji (už mi záznam jednou smazali, a tím že se navzájem kopírují, tak ani nevím, který z nich to udělal, už se těším, až budu mít příležitost ho úplně zlikvidovat a nechat na pokusy).
    Dnes jsem začala raději i preventivně tu 8.8.8.8 z PC vykopávat a jsou ponechány jen dc0 a dc1, jak mají být.

    Pokud jsem se nedostala na https://cname.doména.cz/databáze a nefungoval ani na tuto cname celou adresu ping, tak v NSLOOKUP to vždy fungovalo... a záznamy byly tam, kde měly být, proto mě to tak vytáčelo, dokonce fungoval často ping websrv, ale websrv.domena.cz už ale ne.


    • Upravený Lenka J úterý 14. ledna 2020 14:10
    úterý 14. ledna 2020 14:09
  • Aha, tak uz jsme asi doma.

    Problem se jmenuje negativni DNS cache. Tj . PC se pta 8.8.8.8 na CNAME, ktery je ale zapsany jen v lokalnim DNS na DC. Google logicky odpovi - nemame/neznam. PC si tuto informaci ulozi do negativni cache = nekolik minut VI, ze takovy zaznam neexistuje a o dalsi pokusy to zjistit se nesnazi.

    Proto ping na CNAME.domena.cz rika, ze to nejde, NSLOOKUP na DC DNS rika, ze ok, protoze DNS cache nepouziva, ale pta se primo vybraneho DNS. Pri pingu na kratke CNAME se pravdepodobne jeste zkusi i jina technologie, nez DNS (broadcast, SSDP atp), proto je vysledek lepsi.

    Negativni cache lze vypnout viz treba https://www.petri.com/preventing_caching_of_failed_dns_lookups, nebo smazat (ipconfig /flushdns) , ale je to v danem pripade workaround. RYCHLE vyhazet 8.8.8.8 a jine smeti z nastaveni TCP - viz vyse.



    středa 15. ledna 2020 7:09
  • Root hints si stahni VSECHNY z jineho DNS (tlac. Copy from server) a nemlat je rucne :-O

    Na klientu vypni sluzbu Dnscache a uvidis, jak se veci zmeni

    MP

    středa 15. ledna 2020 8:52
    Moderátor
  • To by docela odpovídalo, protože přes ipconfig /flushdns a /registerdns jsem to vždy na chvíli opravila a pak mi to za chvilku zas spadlo. Každopádně veřejné DNS už nikde nefigurují a zatím vše jede.

    Jak se říká "aktivní blbec je horší než třídní nepřítel" ;-)
    děkuji všem za pomoc.


    • Upravený Lenka J pátek 17. ledna 2020 6:11
    čtvrtek 16. ledna 2020 14:28