© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Oliver Fromme schrieb:
> Rainer Duffner <rainer(at)ultra-secure.de> wrote:
> > ich betreibe einen 2ndary-only BIND auf FreeBSD 6.0.
> >
> > Ein Kunde hat sich beschwert, dass die Updates sehr lange brauchen, bis
> > sie auf unseren Rechner auftauchen:
>
> Wie lange? Gibt es konkrete Zahlen?
Naja, so rounadabout 2-3h, wenn ich das richtig im Kopf habe.
> Insbesondere wäre
> interessant zu wissen, ob es länger als die »refresh«-
> Zeit aus der SOA dauert. Kannst Du das problem
>
>
Refresh ist 10800, vom dem her dachte ich eigentlich, es sei normal.
> Wenn alles korrekt funktioniert -- insbesondere die
> Notifies --, sollten die Updates allerdings sofort pas-
> sieren, unabhängig vom »refresh«-Intervall. Allerdings
> kann es passieren, dass negative Ergebnisse (NXDOMAIN)
> für kurze Zeit gecacht werden (5 Minuten oder so).
> Darüberhinaus findet auch in einigen Anwendungen ein
> Caching statt (typisches Beispiel: Squid).
>
> Übrigens: Kannst Du das Problem selbst nachvollziehen,
> oder gibt es lediglich die Beschwerde vom Kunden?
>
> > Aug 20 11:35:19 named[28009]: zone domain.ch/IN: loaded serial 2006082001
> > Aug 20 11:35:19 named[28009]: zone domain.ch/IN: sending notifies
> > (serial 2006082001)
>
>
Ich sehe halt in den Logs gar nichts zum Thema IXFR/notify.
Die Auszüge sind vom named vom Kunden.
> Hm, die Serial sieht OK aus. (Typischer Fehler wäre,
> eine Ziffer zuviel zu verwenden, so dass dir 32 Bits
> überlaufen, was zu fehlenden Updates führen kann.)
>
> > Aug 20 11:35:19 named[28009]: received notify for zone 'domain.ch'
>
> Sieht auch OK aus. Mein erster Verdacht war, dass die
> Notifies nicht gesendet werden und/oder nicht ankommen
> (wg. Paketfilter, Fehler in BIND-Config etc.). Das
> scheint aber nicht der Fall zu sein.
>
> > Das ganze ist als jail am Laufen, mit so ziemlich der
> > Default-Konfiguration von BIND.
> >
> > Muss man da irgendwas beachten?
>
> Eigentlich sollte es out-of-the-box laufen. Chroot ist ja
> in FreeBSD 6 eh schon der Default, und im Jail statt Chroot
> sollte es ebensogut laufen (vorausgesetzt, der notwendige
> Netzzugriff ist im Jail mit der richtigen IP möglich).
>
Ich habe da noch knapp 500 andere Slaves "rumliegen", und wenn die Leute
gebacken kriegen, das sie unserer IP den AXFR erlauben müssen (oder
ihrer IP die NOTIFYs), dann geht es im Allgemeinen.
Zumindest hat sich noch nie jemand beschwert.
Ich finde BIND aber sehr verwirrend.
Z.B. würde ich gerne ein "verboseres" logging anschalten, aber ich werde
nicht so richtig schlau aus der Doku.
> Ob's am Netz liegt oder nicht, kann man ja rasch feststel-
> len, indem man vorübergehend chroot statt jail verwendet.
> Oder einfach mal eine DNS-Abfrage im tcpdump angucken,
> oder mit »host -d«.
>
>
>
Es ist so, das es ein komplettes jail ist (der BIND wird via
webmin-Modul verwaltet, da wollte ich das Risiko für den Rest des
Systems minimieren).
Der vorherige 2ndary von denen (die Swisscom) hatte angeblich (bzw.
wahrscheinlich) keine Probleme - aber ich bin mir auch nicht sicher, ob
die Swisscom IXFRs überhaupt aktiviert hat). Der "gegnerische" BIND ist
ein 9.2.3, also wahrscheinlich ein Debian oder so.
cu,
Rainer
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 21 Aug 2006 - 14:17:49 CEST