bind9-Verständnisfrage

Al Bogner

4 Feb 2004 4 Feb '04

22:06

Nachdem es bei meinem ISP immer wieder DNS-Probleme gibt, will ich mal schauen, ob ich das lokal besser in den Griff bekomme :-) Für die Installation habe ich mal http://www.p2pworld.to/t35109.html gefunden. Andere Howtos / Links sind willkommen. Ich möchte also als 1. u. 2. DNS-Server die DNS-Server des ISP verwenden, sofern im Cache des lokalen DNS-Server nichts gefunden wurde. Sind die beiden DNS-Server des ISP down, dann soll wieder mein lokaler DNS-Server einspringen. Ist das so möglich bzw. könnte eine anderer Lösung unter dem Gesichtspunkt "DNS-Server des ISP hat öfters Probleme" sinnvoller sein? Wie sieht es mit der Cachgröße aus? Wo kann man die eintragen und ab welcher Größe ist es sinnvoll? Al

Show replies by date

Stefan Onken

4 Feb 4 Feb

22:18

Am Mittwoch, 4. Februar 2004 22:06 schrieb Al Bogner:

...

Ist das so möglich bzw. könnte eine anderer Lösung unter dem Gesichtspunkt "DNS-Server des ISP hat öfters Probleme" sinnvoller sein?

also ein eigener DNS Server ist sicherlich nicht verkehrt - ist ja auch relativ schnell eingerichtet. Wenn die Nameserver von Deinem Provider oefters einmal Probleme machen, dann wuerde ich Dir aber dennoch empfehlen einfach andere zu nehmen - von der Telekom z.B. oder von einer der anderen grossen Anbieter. cu stonki -- www.stonki.de: the more I see, the more I know....... www.proftpd.de: Deutsche ProFTPD Dokumentation www.krename.net: Der Batch Renamer für KDE www.kbarcode.net: Die Barcode Solution für KDE

Al Bogner

23:18

Am Mittwoch, 4. Februar 2004 23:18 schrieb Stefan Onken:

...

Am Mittwoch, 4. Februar 2004 22:06 schrieb Al Bogner:

...
Ist das so möglich bzw. könnte eine anderer Lösung unter dem Gesichtspunkt "DNS-Server des ISP hat öfters Probleme" sinnvoller sein?

also ein eigener DNS Server ist sicherlich nicht verkehrt - ist ja auch relativ schnell eingerichtet.

Wenn man sich auskennt, wohl ja :-) Ich weiß, aber noch nicht ganz genau was ich will.

...

Wenn die Nameserver von Deinem Provider oefters einmal Probleme machen, dann wuerde ich Dir aber dennoch empfehlen einfach andere zu nehmen - von der Telekom z.B. oder von einer der anderen grossen Anbieter.

Lassen die Fremde einfach abfragen? Die Nameserver, die von Zeit zu Zeit Probleme machen, sind 195.3.96.67 und 195.3.96.68 Worauf muß ich nun achten, wenn ich, wie ursprünglich gepostet folgendes will: "Ich möchte also als 1. u. 2. DNS-Server die DNS-Server des ISP verwenden, sofern im Cache des lokalen DNS-Server nichts gefunden wurde. Sind die beiden DNS-Server des ISP down, dann soll wieder mein lokaler DNS-Server einspringen." Ich habe es noch nicht verstanden, was zu tun ist, damit zuerst der lokale Cache abgefragt wird. Wann kommen die "forwarders" ins Spiel? Auf die Cachegröße bitte auch nocht antworten. Der Rechner, der dafür eingesetzt werden soll, ist ein Celeron 466 mit Uralt-Hardware, der jetzt schon Firewall spielt. Was ist zu tun, dass zuerst die /etc/hosts abgefragt wird und erst dann die DNS-Server oder ist das default? Al

Stefan Onken

5 Feb 5 Feb

07:38

Am Mittwoch, 4. Februar 2004 23:18 schrieb Al Bogner:

...

Lassen die Fremde einfach abfragen? Die Nameserver, die von Zeit zu Zeit Probleme machen, sind 195.3.96.67 und 195.3.96.68

ja. zumindest die von t-online. z.B. stonki@uk:~> resolveip dns00.btx.dtag.de IP address of dns00.btx.dtag.de is 194.25.2.132 stonki@uk:~> resolveip dns02.btx.dtag.de IP address of dns02.btx.dtag.de is 194.25.2.131

...

Ich habe es noch nicht verstanden, was zu tun ist, damit zuerst der lokale Cache abgefragt wird. Wann kommen die "forwarders" ins Spiel? Auf die Cachegröße bitte auch nocht antworten. Der

also mit Cachegroesse weiss ich nicht wirklich viel, und meine Bind Buecher liegen auch in Deutschland :( Nur zur Info: Bind behaelt den Cache nur im Speicher, schreibt also nichts auf die Platte. Aber ab Bin 9.2 gibt es eine "max-cache-size" option. Musste mal fuer Googlen we die richtig eingesetzt wrd.

...

Rechner, der dafür eingesetzt werden soll, ist ein Celeron 466 mit Uralt-Hardware, der jetzt schon Firewall spielt.

das sieht mir alles schnell genug aus. Sowas macht bei mir in D-Land ein K6-450 und der hat ne Load von 0. Also bei mir sieht das so aus: forwarders { 213.133.99.140; 141.53.8.1; 194.25.2.129; }; # Enable the next entry to prefer usage of the name # server declared in the forwarders section. #forward first; Das war bei mir das einzigste, was ich in /etc/named.conf aendern musste. Bei "Forward first" wird Dein eigener Name Server eben nicht zuerst abgefragt. (

...

Was ist zu tun, dass zuerst die /etc/hosts abgefragt wird und erst dann die DNS-Server oder ist das default?

/etc/hosts.conf <- Da kann man das einstellen. cu stonki -- www.stonki.de: the more I see, the more I know....... www.proftpd.de: Deutsche ProFTPD Dokumentation www.krename.net: Der Batch Renamer für KDE www.kbarcode.net: Die Barcode Solution für KDE

Philipp Thomas

08:09

Stefan Onken [Do, 5 Feb 2004 07:38:47 +0000]:

...

...
Am Mittwoch, 4. Februar 2004 23:18 schrieb Al Bogner: Was ist zu tun, dass zuerst die /etc/hosts abgefragt wird und erst dann die DNS-Server oder ist das default?

/etc/hosts.conf <- Da kann man das einstellen.

/etc/nsswitch.conf dürfte der bessere Ort sein :) Dort wird für *jedes* Programm, das die glibc verwendet, festgelegt, in welcher Reihenfolge Dateien und/oder Dienste befragt werden. Philipp

Thomas Vollmer

12:33

On Thursday 05 February 2004 08:38, Stefan Onken wrote:

...

Am Mittwoch, 4. Februar 2004 23:18 schrieb Al Bogner:

[...]

...

forwarders { 213.133.99.140; 141.53.8.1; 194.25.2.129; }; # Enable the next entry to prefer usage of the name # server declared in the forwarders section. #forward first;

Das war bei mir das einzigste, was ich in /etc/named.conf aendern musste. Bei "Forward first" wird Dein eigener Name Server eben nicht zuerst abgefragt. (

Nicht ganz richtig. Der forward first besagt nur, dass erst die Anfrage an die forwarder geschickt wird und erst wenn von dort keine Anwort kommt, wird eine Rekursivabfrage gestartet. Diese startet dann z.B. über die root server. Dies ist IMHO die beste Konfigurationsvariante. Man trägt seine 1-2 DNS Server vom Provider ein und wenn die nicht wollen, dann geht es den normalen DNS Weg. Andere Varianten sind forward only = Es werden nur die forwarder angefragt und es gibt keine forwarders = Es wird immer Rekursiv abgefragt. Aber in allen Fällen wird dieser DNS Anfragen die ihn erreichen auch versuchen zu beantworten. Entweder durch seine lokalen zones, den cache, die forwarder oder halt rekursiv. Thomas -- IRC:Tomse Jabber:Tomse@jabber.org ICQ:4843585

Michael Raab

9 Feb 9 Feb

21:14

* Al Bogner postete am 05. Feb. 2004 folgendes:

...

Am Mittwoch, 4. Februar 2004 23:18 schrieb Stefan Onken:

...
Am Mittwoch, 4. Februar 2004 22:06 schrieb Al Bogner:

...
Ist das so möglich bzw. könnte eine anderer Lösung unter dem Gesichtspunkt "DNS-Server des ISP hat öfters Probleme" sinnvoller sein?

also ein eigener DNS Server ist sicherlich nicht verkehrt - ist ja auch relativ schnell eingerichtet.

Wenn man sich auskennt, wohl ja :-) Ich weiß, aber noch nicht ganz genau was ich will.

Aber kein BIND, der ist evil. ;)

...

...
Wenn die Nameserver von Deinem Provider oefters einmal Probleme machen, dann wuerde ich Dir aber dennoch empfehlen einfach andere zu nehmen - von der Telekom z.B. oder von einer der anderen grossen Anbieter.

Lassen die Fremde einfach abfragen? Die Nameserver, die von Zeit zu Zeit Probleme machen, sind 195.3.96.67 und 195.3.96.68

Ich nutze keinen öffentlichen DNS-Server, weil ich vor dem selben Problem stand, das der DNS von meinem damaligen Provider nicht errichbar war. Das hatte natürlich die Folge, das die Seiten langsam oder sogar garnicht erschienen sind. Also habe ich mir den dnscache[1] von djbdns installiert.

...

Worauf muß ich nun achten, wenn ich, wie ursprünglich gepostet folgendes will:

"Ich möchte also als 1. u. 2. DNS-Server die DNS-Server des ISP verwenden, sofern im Cache des lokalen DNS-Server nichts gefunden wurde.

Normal findet ein Cache alles, weil dieser sich die Infos von "draussen" holt.

...

Sind die beiden DNS-Server des ISP down, dann soll wieder mein lokaler DNS-Server einspringen."

Naja, nimm gleich von vornerein einen Cache und Ruhe ist.

...

Ich habe es noch nicht verstanden, was zu tun ist, damit zuerst der lokale Cache abgefragt wird. Wann kommen die "forwarders" ins Spiel? Auf die Cachegröße bitte auch nocht antworten. Der Rechner, der dafür eingesetzt werden soll, ist ein Celeron 466 mit Uralt-Hardware, der jetzt schon Firewall spielt.

Der reicht vollkommen. Mein DNS[2] ist ein PII 233er und der langweilt sich dabei noch.

...

Was ist zu tun, dass zuerst die /etc/hosts abgefragt wird und erst dann die DNS-Server oder ist das default?

Das wird in der /etc/host.conf festgelegt, wo zuerst nach geschaut wird. Bye Michael [1] http://www.better-com.de/de/dnshowto [2] http://lifewithdjbdns.org/ -- A gentleman differs from other men in that he retains his heart. -- Mencius _______________________________________________________________________ http://macbyte.info/ ICQ #151172379 http://autohbci.macbyte.info/

Al Bogner

22:31

Am Montag, 9. Februar 2004 22:14 schrieb Michael Raab:

...

Aber kein BIND, der ist evil. ;)

Meinst du, dass Bind 9.2 noch immer Speicherlecks hat?

...

Ich nutze keinen öffentlichen DNS-Server, weil ich vor dem selben Problem stand, das der DNS von meinem damaligen Provider nicht errichbar war. Das hatte natürlich die Folge, das die Seiten langsam oder sogar garnicht erschienen sind. Also habe ich mir den dnscache[1] von djbdns installiert.

Ist das genauso einfach zu installieren / konfigurieren wie bind9? Ich habe dnscache nur kurz mal überflogen. Eigentlich reicht mir nur DNS-Caching, lokal reicht mir die hosts. Mit den 2 Einträgen forwarders { DNS1; DNS2; DNS3; }; forward first; funktioniert eigentlich alles, was mir wichtig ist. Alles andere ist "nice to have". Die im Usenet berichtete Speicherproblematik mit bind konnte ich noch nicht nachvollziehen. Die DNS-Abfrage beim eigenen Provider scheint noch immer das Schnellste zu sein. Ich bin schon gespannt, ob ich was merke, wenn DNS1 mal down ist.

...

Der reicht vollkommen. Mein DNS[2] ist ein PII 233er und der langweilt sich dabei noch.

Der 466er langweilt sich nicht, speziell der spamd und die Virenprüfung nicht, wenn 500 Spams runtergeladen werden. Na ja, das war auch eine Ausnahme weil der Bayesfilter lernen sollte.

...

...
Was ist zu tun, dass zuerst die /etc/hosts abgefragt wird und erst dann die DNS-Server oder ist das default?

Das wird in der /etc/host.conf festgelegt, wo zuerst nach geschaut wird.

Bye Michael

[1] http://www.better-com.de/de/dnshowto

Das kannte ich noch nicht. Danke! Al

Thomas Arend

10 Feb 10 Feb

12:21

New subject: Geschwindigkeit der DNS-Abfrage beim Provider [war: bind9-Verständnisfrage]

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Al Bogner schrieb:

...

Am Montag, 9. Februar 2004 22:14 schrieb Michael Raab:

[...]

...

Die DNS-Abfrage beim eigenen Provider scheint noch immer das Schnellste zu sein. Ich bin schon gespannt, ob ich was merke, wenn DNS1 mal down ist.

Ob etwas bemerkbar ist, hängt von den Umständen ab. Wenn man über Seiten surft, die aus Teilen zusammengesetzt sind, die sich über mehrere Server erstrecken, sollte durchaus auch etwas bemerkbar sein. Allerdings sind die Unterschiede messbar. [...] Die Geschwindigkeit einer Abfrage lässt sich git mit: time host <server> feststellen. Die Abfrage zweimal hintereinander ergit bei mir folgendes für T-Online (t-dsl, bind9, forwarders zwei DNS von t-online, auf Cytrix 166MHz mit 384 MByte, 100MHz Ethernet): thomas@r1:~> time host www.t-online.de www.t-online.de has address 194.25.134.153 www.t-online.de has address 212.185.47.88 www.t-online.de has address 194.25.134.146 real 0m0.136s user 0m0.006s sys 0m0.003s thomas@r1:~> time host www.t-online.de www.t-online.de has address 212.185.47.88 www.t-online.de has address 194.25.134.146 www.t-online.de has address 194.25.134.153 real 0m0.008s user 0m0.002s sys 0m0.004s thomas@r1:~> Der eigene Cache bringt fast einen Faktor 20 an Geschwindigkeit. Ohne forwarder der Telokom ergib sich folgendes: thomas@r1:~> time host www.t-online.de www.t-online.de has address 194.25.134.153 www.t-online.de has address 212.185.47.88 www.t-online.de has address 194.25.134.146 real 0m0.715s user 0m0.003s sys 0m0.003s Hier ist die Abfrage über die DNS von t-online deutlich (5x) schneller, da die Adresse im Cache des t-online DNS liegt, während der eigene Server erstmal die Abfrage über die Root Server starten muss. Nächstes Beispiel ohne forwarders (Host: 1und1): thomas@r1:~> time host www.t-arend.de www.t-arend.de has address 212.227.119.70 real 0m0.569s user 0m0.004s sys 0m0.002s Mit forwarders: thomas@r1:~> time host www.t-arend.de www.t-arend.de has address 212.227.119.70 real 0m2.102s user 0m0.004s sys 0m0.001s Bei einer nicht im Cache vorhandenen Seite ist der t-online DNS deutlcih langsamer als der eigene Server. Vielleicht findet jemand ja einen schnelleren DNS Server. Trotzdem dürfte in Verwendung eines DNS des Provider Geschwindigkeitsvorteile haben. Außerdem entlastet es die root Server, die sonst alle Anfragen beantworten müssten. Warum die eigentlich gut angebundenen Server T-Online bei der Abfrage nicht bekannter Namen so lange brauchen, ist mir unklar. Wahrscheinlich forwardes der Server die Anfragen über mehrere Server, bevor die Root-Server beansprucht werden. Wer auf eine seltene Seite will, der muss schon mal 2 bis 5 Sekunden warten, bis die Adresse das erste Mal aufgelöst ist. Beim zweiten Mal geht es dann deutlich schneller. Thomas - -- Thomas Arend, Wilhelmshaven www.t-arend.de | www.arend-whv.info icq:133073900 | aim:tawhv -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.3.4 (GNU/Linux) iD8DBQFAKMzB2TqsmTFMxwkRAvj4AJ4gERODu3jr52lXglK5JiQ3p9Z5VQCfR0fG BodBwu5VrhCDvkMLcnL/LOo= =i5XX -----END PGP SIGNATURE-----

Thomas Vollmer

14 Feb 14 Feb

08:55

On Monday 09 February 2004 22:14, Michael Raab wrote:

...

* Al Bogner postete am 05. Feb. 2004 folgendes:

...
Am Mittwoch, 4. Februar 2004 23:18 schrieb Stefan Onken:

...
Am Mittwoch, 4. Februar 2004 22:06 schrieb Al Bogner:

[...]

...

...
Was ist zu tun, dass zuerst die /etc/hosts abgefragt wird und erst dann die DNS-Server oder ist das default?

Das wird in der /etc/host.conf festgelegt, wo zuerst nach geschaut wird.

Nope, die Reihenfolge wird in der /etc/nsswitch.conf festgelegt. Thomas -- IRC:Tomse Jabber:Tomse@jabber.org ICQ:4843585

Steffen Enke

9 Feb 9 Feb

21:56

Hi! Richte Dir doch einfach selber einen Nameserver (bind9) ein, schöne Beispielconfigs findest Du in /usr/share/doc/bind . In die /etc/host trägst Du nichts ein, was nicht schon drinsteht, also localhost und die IP Deiner 1.Karte sowie Dein Rechnername und IPv6-Sachen. Als Forwarders probier es doch mal mit denen der Telekom: 62.155.255.16 und 217.5.115.7 . Für Abfragen, welche Dein bind nicht kennt, sofern richtig konfiguriert, fragt er dann die Telekomserver und wählt sich ein, ob per dsl oder isdn, wie Du es halt konfiguriert hast. Beispielscripte gern per Mail. Grüße SE Am Mo 09.02.2004 22:14, Michael Raab schrieb:

...

* Al Bogner postete am 05. Feb. 2004 folgendes:

...
Am Mittwoch, 4. Februar 2004 23:18 schrieb Stefan Onken:

...
Am Mittwoch, 4. Februar 2004 22:06 schrieb Al Bogner:

...
Ist das so möglich bzw. könnte eine anderer Lösung unter dem Gesichtspunkt "DNS-Server des ISP hat öfters Probleme" sinnvoller sein?

also ein eigener DNS Server ist sicherlich nicht verkehrt - ist ja auch relativ schnell eingerichtet.

Wenn man sich auskennt, wohl ja :-) Ich weiß, aber noch nicht ganz genau was ich will.

Aber kein BIND, der ist evil. ;)

...
...
Wenn die Nameserver von Deinem Provider oefters einmal Probleme machen, dann wuerde ich Dir aber dennoch empfehlen einfach andere zu nehmen - von der Telekom z.B. oder von einer der anderen grossen Anbieter.

Lassen die Fremde einfach abfragen? Die Nameserver, die von Zeit zu Zeit Probleme machen, sind 195.3.96.67 und 195.3.96.68

Ich nutze keinen öffentlichen DNS-Server, weil ich vor dem selben Problem stand, das der DNS von meinem damaligen Provider nicht errichbar war. Das hatte natürlich die Folge, das die Seiten langsam oder sogar garnicht erschienen sind. Also habe ich mir den dnscache[1] von djbdns installiert.

...
Worauf muß ich nun achten, wenn ich, wie ursprünglich gepostet folgendes will:

"Ich möchte also als 1. u. 2. DNS-Server die DNS-Server des ISP verwenden, sofern im Cache des lokalen DNS-Server nichts gefunden wurde.

Normal findet ein Cache alles, weil dieser sich die Infos von "draussen" holt.

...
Sind die beiden DNS-Server des ISP down, dann soll wieder mein lokaler DNS-Server einspringen."

Naja, nimm gleich von vornerein einen Cache und Ruhe ist.

...
Ich habe es noch nicht verstanden, was zu tun ist, damit zuerst der lokale Cache abgefragt wird. Wann kommen die "forwarders" ins Spiel? Auf die Cachegröße bitte auch nocht antworten. Der Rechner, der dafür eingesetzt werden soll, ist ein Celeron 466 mit Uralt-Hardware, der jetzt schon Firewall spielt.

Der reicht vollkommen. Mein DNS[2] ist ein PII 233er und der langweilt sich dabei noch.

...
Was ist zu tun, dass zuerst die /etc/hosts abgefragt wird und erst dann die DNS-Server oder ist das default?

Das wird in der /etc/host.conf festgelegt, wo zuerst nach geschaut wird.

Bye Michael

[1] http://www.better-com.de/de/dnshowto [2] http://lifewithdjbdns.org/

-- A gentleman differs from other men in that he retains his heart. -- Mencius _______________________________________________________________________ http://macbyte.info/ ICQ #151172379 http://autohbci.macbyte.info/

-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com

Silvio Rönick

4 Feb 4 Feb

22:46

Hy Also bei mir im Netz habe ich einen DNS Server (Clints per DHCP übergebraten) und der hat die forwader vom Provider und 2 grosse Server. Dann noch die Option forwarder first an. So leuft die Kiste schon ein Jahr tadellos. Deswegen lass ichs mit dem Sekunder Server langsam angehen :) Welche Provider macht dir den solchen Ärger? Tip habe ne Weile gebaucht bis icks merkte. Wenn du Squid als Proxy verwendest der ist pingelisch www. und ohne sind Welten. Das ist aber kein DNS Prob mann muss Squid nur genau sagen was man will. gruss silvio Am Mittwoch, 4. Februar 2004 23:06 schrieb Al Bogner:

...

Nachdem es bei meinem ISP immer wieder DNS-Probleme gibt, will ich mal schauen, ob ich das lokal besser in den Griff bekomme :-)

Für die Installation habe ich mal http://www.p2pworld.to/t35109.html gefunden. Andere Howtos / Links sind willkommen.

Ich möchte also als 1. u. 2. DNS-Server die DNS-Server des ISP verwenden, sofern im Cache des lokalen DNS-Server nichts gefunden wurde.

Sind die beiden DNS-Server des ISP down, dann soll wieder mein lokaler DNS-Server einspringen.

Ist das so möglich bzw. könnte eine anderer Lösung unter dem Gesichtspunkt "DNS-Server des ISP hat öfters Probleme" sinnvoller sein?

Wie sieht es mit der Cachgröße aus? Wo kann man die eintragen und ab welcher Größe ist es sinnvoll?

Al

Dieter Kluenter

5 Feb 5 Feb

08:06

Hi, Al Bogner writes:

...

Nachdem es bei meinem ISP immer wieder DNS-Probleme gibt, will ich mal schauen, ob ich das lokal besser in den Griff bekomme :-)

Für die Installation habe ich mal http://www.p2pworld.to/t35109.html gefunden. Andere Howtos / Links sind willkommen.

Ich möchte also als 1. u. 2. DNS-Server die DNS-Server des ISP verwenden, sofern im Cache des lokalen DNS-Server nichts gefunden wurde.

Sind die beiden DNS-Server des ISP down, dann soll wieder mein lokaler DNS-Server einspringen.

Das ist zwar ein löblicher Anspruch, kann aber zu erheblichen Timeouts führen. Dazu mußt du verstehen, wie der Resolver funktioniert. Die Standardeinstellungen des Resolver sehen ungefähr wie folgt aus: - versuche den Namen beim ersten fremden Server aufzulösen - warte 5 Sekunden - versuche den zweiten Server - warte 5 Sekunden - versuche Root Server - warte 5 Sekunden usw. Das führt dann häufig dazu, daß eine Anwendung aufgrund des timeouts mit ERROR abbricht.

...

Ist das so möglich bzw. könnte eine anderer Lösung unter dem Gesichtspunkt "DNS-Server des ISP hat öfters Probleme" sinnvoller sein?

Ich habe es mir abgewöhnt, irgendwelche forwarder Anweisungen zu nutzen, dagegen pflege ich die Liste der Rootserver, d.h. ich aktualisiere die Datei root.hint wöchentlich dig @a.root-servers.net . ns > root.hint_neu Damit mein DNS die Daten meines lokalen Netzes nicht unsinnigerweise in die weite Welt hinausposaunt, habe ich folgende Regeln definiert options { .... dialup yes; }; acl intern { 192.168.100/24; }; ... zone "xxxx" { type master; file "xxxx"; allow-query { intern; }; check-names ignore; }; Durch diese 'allow-query' Anweisung werden nur Anfragen aus dem lokalen Netz beantwortet. Durch 'dialup yes' wird die Aktualisierung des Caches reduziert, die üblicherweise bei 60 Minuten liegt.

...

Wie sieht es mit der Cachgröße aus? Wo kann man die eintragen und ab welcher Größe ist es sinnvoll?

Die Cachegröße kannst du negieren, die beträgt in einem privaten Netz nicht mehr als 200K. Wenn du sie aber beschränken möchtest, in options { ... datasize ; }; Um zu sehen, was denn so auf dem lokalen Netz los ist, hatte ich mal für ein paar Tage eine logging Option options { ... logging { channel nasenbohrer { file "/var/log/nasenbohrer"; severity dynamic; }; category queries { nasenbohrer; }; }; Logging führt aber zu einer ziemlichen Systemlast, da jede Anfrage in die Logdatei geschrieben wird. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de

Thomas Vollmer

12:50

On Thursday 05 February 2004 09:06, Dieter Kluenter wrote:

...

Hi,

[...] Bis hier her stimme ich Dir voll zu. Allerdings verwende ich sehr wohl einen forwarder. aber auf keinen Fall mehr.

...

Ich habe es mir abgewöhnt, irgendwelche forwarder Anweisungen zu nutzen, dagegen pflege ich die Liste der Rootserver, d.h. ich aktualisiere die Datei root.hint wöchentlich

dig @a.root-servers.net . ns > root.hint_neu

Aber dies halte ich für reichlich überflüssig, vor allem im Wochentakt. So schnell ändern sich die IP Adressen der NS server der root zone nun doch nicht. Und wenn sich dann doch mal eine ändert, kriegt der laufende DNS das über seine normalen Abfragen mit und hat die Änderungen nunmehr im cache. Deswegen heisst diese Datei auch root.hint. Sie ist eben nur ein Hinweis und solange auch nur /eine/ Adresse stimmt, bekommt der DNS Server den Rest schon mit. Thomas -- IRC:Tomse Jabber:Tomse@jabber.org ICQ:4843585

Dieter Kluenter

15:06

Hallo, Thomas Vollmer writes:

...

On Thursday 05 February 2004 09:06, Dieter Kluenter wrote:

...
Hi,

[...]

...

Aber dies halte ich für reichlich überflüssig, vor allem im Wochentakt. So schnell ändern sich die IP Adressen der NS server der root zone nun doch nicht. Und wenn sich dann doch mal eine ändert, kriegt der laufende DNS das über seine normalen Abfragen mit und hat die Änderungen nunmehr im cache.

Ich habe festgestellt, daß in letzter Zeit die Adressen der root Server etliche male geändert wurden.

...

Deswegen heisst diese Datei auch root.hint. Sie ist eben nur ein Hinweis und solange auch nur /eine/ Adresse stimmt, bekommt der DNS Server den Rest schon mit.

Das ist schon richtig, aber es führt nach einem Neustart zu einiger Verzögerung, wenn erst die Root-Server aktualisert werden müssen. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de

Thomas Vollmer

15:52

On Thursday 05 February 2004 16:06, Dieter Kluenter wrote:

...

Hallo,

Thomas Vollmer writes:

...
On Thursday 05 February 2004 09:06, Dieter Kluenter wrote:

...
Hi,

[...]

...
Aber dies halte ich für reichlich überflüssig, vor allem im Wochentakt. So schnell ändern sich die IP Adressen der NS server der root zone nun doch nicht. Und wenn sich dann doch mal eine ändert, kriegt der laufende DNS das über seine normalen Abfragen mit und hat die Änderungen nunmehr im cache.

Ich habe festgestellt, daß in letzter Zeit die Adressen der root Server etliche male geändert wurden.

Ähm, also der Unterschied zwischen der root.hint aus dem SuSE 8.1 paket und der aktuellen liegt genau bei dem B und J root server. IMHO nicht wirklich relevant.

...

...
Deswegen heisst diese Datei auch root.hint. Sie ist eben nur ein Hinweis und solange auch nur /eine/ Adresse stimmt, bekommt der DNS Server den Rest schon mit.

Das ist schon richtig, aber es führt nach einem Neustart zu einiger Verzögerung, wenn erst die Root-Server aktualisert werden müssen.

Ich weiss ja nicht was noch für Hardware und Internetverbindungen (Okay letzteres weiß ich relativ genau) benutzt wird, aber bei mir liegt das im worst case < 10 Sekunden. Vor allem weil sich tatsächlich ja nur 15% geändert haben. Also die Ladezeiten für richtige Zonefiles sind da schon interessanter. Also ich bleibe dabei, deshalb entweder einen Automatismus aufzusetzen oder es Manuell zu machen ist unnötig. Thomas -- IRC:Tomse Jabber:Tomse@jabber.org ICQ:4843585

Al Bogner

6 Feb 6 Feb

13:25

Am Donnerstag, 5. Februar 2004 09:06 schrieb Dieter Kluenter:

...

Ich habe es mir abgewöhnt, irgendwelche forwarder Anweisungen zu nutzen, dagegen pflege ich die Liste der Rootserver, d.h. ich aktualisiere die Datei root.hint wöchentlich

dig @a.root-servers.net . ns > root.hint_neu

Wie hast du das automatisiert? Lässt sich deine root.hint_neu direkt verwenden? Bei root.hint liest man: "This file is made available by InterNIC under anonymous FTP as file /domain/named.root on server FTP.INTERNIC.NET" whois FTP.INTERNIC.NET getaddrinfo: Temporärer Fehler bei der Namensauflösung bzw. nslookup: server can't find FTP.INTERNIC.NET: REFUSED

...

Die Cachegröße kannst du negieren, die beträgt in einem privaten Netz nicht mehr als 200K. Wenn du sie aber beschränken möchtest, in options { ... datasize ; };

Wieiviel DNS-Anfragen passen dann in etwa in den Cache. Mir kommt das eher wenig vor. Lässt sich dieser Cache auch in eine Datei schreiben. Der Rechner wird nachts runtergefahren und damit täglich neu gestartet. Es sieht so aus, dass der lokale primary DNS-Server für externe Domänen funktioniert, aber warum gibt es u.a FormErr, wenn ich mir tcpdump ansehe? host -v -t soa www.ibm.com 14:20:01.547599 62.46.148.111.1024 > 192.35.51.30.domain: 3342 [1au] SOA? www.ibm.com. (40) (DF) [tos 0x10] 14:20:01.751242 192.35.51.30.domain > 62.46.148.111.1024: 3342 FormErr- [0q] 0/0/0 (12) (DF) 14:20:01.752345 62.46.148.111.1024 > 192.35.51.30.domain: 34439 SOA? www.ibm.com. (29) (DF) [tos 0x10] 14:20:01.993729 192.35.51.30.domain > 62.46.148.111.1024: 34439- 0/5/5 (240) (DF) 14:20:01.996852 62.46.148.111.1024 > 195.176.20.204.domain: 25883 [1au] SOA? www.ibm.com. (40) (DF) [tos 0x10] 14:20:02.076233 195.176.20.204.domain > 62.46.148.111.1024: 25883*- 0/1/1 (90) Fehlt da im Howto von http://www.p2pworld.to/t35109.html nicht die lokale IP-Adresse? --------------------- Teil 5: Die Datei /var/named/at-home.de.hosts ist zuständig für das "mapping" der Maschinennamen auf die zugehörigen Ip-Adressen. D.h. die Maschinennamen werden der zugehörigen Ip-Adresse zugeordnet: $ttl 38400 at-home.de. IN SOA linux.at.home.de. root.at-home.de ( 2003050200 10800 3600 604800 38400 ) at-home.de. IN NS linux.at-home.de. --------------------- Al

Dieter Kluenter

17:10

Al Bogner writes:

...

Am Donnerstag, 5. Februar 2004 09:06 schrieb Dieter Kluenter:

...
Ich habe es mir abgewöhnt, irgendwelche forwarder Anweisungen zu nutzen, dagegen pflege ich die Liste der Rootserver, d.h. ich aktualisiere die Datei root.hint wöchentlich

dig @a.root-servers.net . ns > root.hint_neu

Wie hast du das automatisiert?

Lässt sich deine root.hint_neu direkt verwenden?

Klar, ein kleines script gleichen Inhalts, jetzt ohne Schönheitspreis #!/bin/bash DIG="/usr/bin/dig" ROOTSERVER="a.root-servers.net" ROOT_TMP="/tmp/root.hint_neu" ROOT_HINT="/var/named/root.hint" $DIG @$ROOTSERVER . ns > $ROOT_TMP; /bin/mv $ROOT_HINT /tmp/root.hint_alt; /bin/mv $ROOT_TMP $ROOT_HINT; /bin/rm $ROOT_TMP #EOF Das ganze durch einen cronjob (als root) ausführen lassen.

...

Bei root.hint liest man: "This file is made available by InterNIC under anonymous FTP as file /domain/named.root on server FTP.INTERNIC.NET"

dazu kan ich wenig sagen, meine root.hint enthält diese Info nicht mehr. [...]

...

...
Die Cachegröße kannst du negieren, die beträgt in einem privaten Netz nicht mehr als 200K. Wenn du sie aber beschränken möchtest, in options { ... datasize ; };

Wieiviel DNS-Anfragen passen dann in etwa in den Cache. Mir kommt das eher wenig vor. Lässt sich dieser Cache auch in eine Datei schreiben. Der Rechner wird nachts runtergefahren und damit täglich neu gestartet.

Du kannst davon ausgehen, daß ein Eintrag nicht mehr als 2kb hat, also kannst du schon einige Hundert Adressen im Cache halten. Du kannst zwar den Cache dumpen, aber es macht wenig Sinn, diesen nach einem Neustart zu laden, da die TTL (TIME To Live) der Daten dann schon abgelaufen ist.

...

Es sieht so aus, dass der lokale primary DNS-Server für externe Domänen funktioniert, aber warum gibt es u.a FormErr, wenn ich mir tcpdump ansehe?

host -v -t soa www.ibm.com

14:20:01.547599 62.46.148.111.1024 > 192.35.51.30.domain: 3342 [1au] SOA? www.ibm.com. (40) (DF) [tos 0x10] 14:20:01.751242 192.35.51.30.domain > 62.46.148.111.1024: 3342 FormErr- [0q] 0/0/0 (12) (DF)

Keine Ahnung, Das soll ein Format-Error sein, die Ursache ist vielschichtig.

...

Fehlt da im Howto von http://www.p2pworld.to/t35109.html nicht die lokale IP-Adresse?

--------------------- Teil 5:

Die Datei /var/named/at-home.de.hosts ist zuständig für das "mapping" der Maschinennamen auf die zugehörigen Ip-Adressen. D.h. die Maschinennamen werden der zugehörigen Ip-Adresse zugeordnet:

$ttl 38400 at-home.de. IN SOA linux.at.home.de. root.at-home.de ( 2003050200 10800 3600 604800 38400 ) at-home.de. IN NS linux.at-home.de. ---------------------

Das ist ja nur die Beschreibung des Start Of Origin (SOA) und die Angabe des verantwortlichen Nameservers (IN NS), Die Liste der Namen und Adressen müßte darunter stehen. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de

Al Bogner

5 Feb 5 Feb

22:11

Ich gehe die Sache nun eher langsam an, um dazu zu lernen, was passiert. Fürs erste habe ich mal "caching only" probiert. Das scheint soweit zu funktionieren: nslookup ibm.com 127.0.0.1 Note: nslookup is deprecated and may be removed from future releases. Consider using the `dig' or `host' programs instead. Run nslookup with the `-sil[ent]' option to prevent this message from appearing. Server: 127.0.0.1 Address: 127.0.0.1#53 Non-authoritative answer: Name: ibm.com Address: 129.42.19.99 Name: ibm.com Address: 129.42.16.99 Name: ibm.com Address: 129.42.17.99 Name: ibm.com Address: 129.42.18.99 Wie kann ich herausfinden, ob tatsächlich der "forwarder" abgefragt wird, den ich eingetragen habe: forwarders { 217.5.115.7; 194.25.2.129; }; In "messages" finde ich dazu keine Antwort. Was ändert die resolv.conf Offline habe ich: domain local nameserver 127.0.0.1 nameserver 127.0.0.1 Sobald ich online gehe, ändert sich das auf domain local nameserver 195.3.96.68 nameserver 195.3.96.67 Unter yast / Netzwerkgeräte / ISDN / Provider bearbeiten / DNS-Server habe ich 127.0.0.1 eingetragen und keinen 2. DNS-Server Al

Rafael Kolless

22:47

On Thursday 05 February 2004 23:11, Al Bogner wrote:

...

Non-authoritative answer: Name: ibm.com Address: 129.42.19.99 Name: ibm.com Address: 129.42.16.99 Name: ibm.com Address: 129.42.17.99 Name: ibm.com Address: 129.42.18.99

Wie kann ich herausfinden, ob tatsächlich der "forwarder" abgefragt wird, den ich eingetragen habe:

die Meldung non-authoritative answer gibt an, das Auflösung nicht vom lokalen Bind9 erfolgt ist, sondern von einem Forwarder, alles bestens

...

Sobald ich online gehe, ändert sich das auf

domain local nameserver 195.3.96.68 nameserver 195.3.96.67

Unter yast / Netzwerkgeräte / ISDN / Provider bearbeiten / DNS-Server habe ich 127.0.0.1 eingetragen und keinen 2. DNS-Server

Den Haken im Modul bei "Nameserver und Suchliste über DHCP aktualisieren" herausnehmen. Dann auf den Localhost ändern. Gruß Rafael -- www.pinguin-and-knights.org 2003 by Lontro

Al Bogner

23:37

Am Donnerstag, 5. Februar 2004 23:47 schrieb Rafael Kolless:

...

die Meldung non-authoritative answer gibt an, das Auflösung nicht vom lokalen Bind9 erfolgt ist, sondern von einem Forwarder, alles bestens

Nicht wirklich. Es ist ja der Zustand, den ich ohne Bind auch hatte. Ich will für Tests vorübergehend, dass nicht der DNS-Server des ISP abgefragt wird und das passiert lt. tcpdump.

...

...
Sobald ich online gehe, ändert sich das auf

domain local nameserver 195.3.96.68 nameserver 195.3.96.67

Unter yast / Netzwerkgeräte / ISDN / Provider bearbeiten / DNS-Server habe ich 127.0.0.1 eingetragen und keinen 2. DNS-Server

Den Haken im Modul bei "Nameserver und Suchliste über DHCP aktualisieren" herausnehmen. Dann auf den Localhost ändern.

"DHCP" ist _nicht_ aktiv, 127.0.0.1 _ist_ eingetragen und irgendwo holt sich das System noch immer die ursprünglichen DNS-Server, sobald ich "Ändern bei Internet-Verbindung" markiere. Das kann es doch nicht sein, wenn ich localhost angebe und das System fragt dann woanders ab. Ist da in yast ein Bug? Die DNS-Abfrage funktioniert auch, wenn cat /etc/resolv.conf search local keine Server eingetragen hat. Ich habe natürlich die Hinweise in der resolv.conf gelesen, aber ich verstehe nicht, warum es nicht so funktioniert, wie ich es mache, nämlich bei "Ändern bei Internet-Verbindung" wieder 127.0.0.1 einstelle. Al

Andreas Kyek

6 Feb 6 Feb

06:30

On Friday 06 February 2004 00:37, Al Bogner wrote:

...

Am Donnerstag, 5. Februar 2004 23:47 schrieb Rafael Kolless:

...
die Meldung non-authoritative answer gibt an, das Auflösung nicht vom lokalen Bind9 erfolgt ist, sondern von einem Forwarder, alles bestens

Nicht wirklich. Es ist ja der Zustand, den ich ohne Bind auch hatte. Ich will für Tests vorübergehend, dass nicht der DNS-Server des ISP abgefragt wird und das passiert lt. tcpdump.

Nur so zur Info: die Meldung "non-authoritative answer" gibt NICHT an, das die Auflösung nicht vom lokalen Bind erfolgte. Stattdessen bedeutet das, die Antwort nicht von dem für diese Domäne verantwortlichen (authoritativ) NS erfolgte sondern von einem anderen, der die Daten im Cache hatte und dessen Cache Eintrag seiner Meinung nach noch nicht expired war.

...

...
...
Sobald ich online gehe, ändert sich das auf

domain local nameserver 195.3.96.68 nameserver 195.3.96.67

Unter yast / Netzwerkgeräte / ISDN / Provider bearbeiten / DNS-Server habe ich 127.0.0.1 eingetragen und keinen 2. DNS-Server

Den Haken im Modul bei "Nameserver und Suchliste über DHCP aktualisieren" herausnehmen. Dann auf den Localhost ändern.

"DHCP" ist _nicht_ aktiv, 127.0.0.1 _ist_ eingetragen und irgendwo holt sich das System noch immer die ursprünglichen DNS-Server, sobald ich "Ändern bei Internet-Verbindung" markiere.

Das kann es doch nicht sein, wenn ich localhost angebe und das System fragt dann woanders ab. Ist da in yast ein Bug?

Nein. Das Phänomen ist, das Dein Provider Dir bei der Einwahl neben Deiner IP auch noch den zuständigen DNS mitteilt. Das ist normal und nicht schlimm. Nur solltest Du die Angaben beim Verbindungsaufbau nicht auswerten. Du musst in Yast konfigurieren, das während der Verbindung kein DNs geändert werden soll. Bei DSL ist das in yast2 auf der Seite Verbindungsparameter (SuSE 9.0). Wenn Du Deinen NS auch während der Verbindung nutzen willst, muss auch _nach_ dem Verbidungsaufbau dein NS in /etc/resolv.conf stehen, ansonsten wird der gar nicht benutzt. Andreas

Ewald Hacksteiner

07:58

New subject: Windows Jobname statt smbprn.xxx

Hallo, Mein PDF-Drucker druckt jetzt wunderbar von W2k über Samba 2.2.7a und CUPS, nur die Dokumentbenennung ist etwas bescheiden. Hat jemand eine Idee, wie ich möglichst einfach den original Windows Jobnamen zur Dateibenennung behalten kann anstatt smbprn.xxx googlen und man lpr hat mich nicht wirklich weitergebracht. Danke Ewald

Al Bogner

14:13

Am Freitag, 6. Februar 2004 07:30 schrieb Andreas Kyek:

...

...
Das kann es doch nicht sein, wenn ich localhost angebe und das System fragt dann woanders ab. Ist da in yast ein Bug?

Nein. Das Phänomen ist, das Dein Provider Dir bei der Einwahl neben Deiner IP auch noch den zuständigen DNS mitteilt. Das ist normal und nicht schlimm. Nur solltest Du die Angaben beim Verbindungsaufbau nicht auswerten.

So weit klar, aber was stellt man dann in yast bei der "ISDN-Konfiguration" des Providers ein. Da gibt es eine Option "Während Verbindung DNS ändern" _Nur_ wenn diese Option aktiv ist, kann man in "Nameserver Erstens / Zweitens" etwas eintragen. Diese Einträge werden hier ignoriert. Wenn also die vom ISP mitgeteilten DNS-Server automatisch verwendet werden, wozu dann die Einträge?

...

Wenn Du Deinen NS auch während der Verbindung nutzen willst, muss auch _nach_ dem Verbidungsaufbau dein NS in /etc/resolv.conf stehen, ansonsten wird der gar nicht benutzt.

Klar, ich verstehe nur nicht was yast anbietet. Al

Andreas Kyek

9 Feb 9 Feb

06:33

On Friday 06 February 2004 15:13, Al Bogner wrote:

...

Am Freitag, 6. Februar 2004 07:30 schrieb Andreas Kyek:

...
...
Das kann es doch nicht sein, wenn ich localhost angebe und das System fragt dann woanders ab. Ist da in yast ein Bug?

Nein. Das Phänomen ist, das Dein Provider Dir bei der Einwahl neben Deiner IP auch noch den zuständigen DNS mitteilt. Das ist normal und nicht schlimm. Nur solltest Du die Angaben beim Verbindungsaufbau nicht auswerten.

So weit klar, aber was stellt man dann in yast bei der "ISDN-Konfiguration" des Providers ein.

Da gibt es eine Option "Während Verbindung DNS ändern" _Nur_ wenn diese Option aktiv ist, kann man in "Nameserver Erstens / Zweitens" etwas eintragen.

Warum willst Du hier was Eintragen? IMO stellst Du am besten das "Während Verbindung DNS ändern" ab und lässt das Eintragen von DNS-Adresse hier (wozu auch?). Deine "forwarders" sind bereits in der Konfiguration deines Bind eingetragen, oder? Diese wird ja auch von der Einwahl nicht geändert, sondern nur die resolv.conf. Und in Deiner resolv.conf sollte vor, während und nach der Einwahl ausschliesslich dein lokaler DNS stehen. Jede Query geht dann IMMER an deinen lokalen DNS. Weiss der die Antwort nicht, dann befragt er seine Forwarders usw.

...

Diese Einträge werden hier ignoriert. Wenn also die vom ISP mitgeteilten DNS-Server automatisch verwendet werden, wozu dann die Einträge?

...
Wenn Du Deinen NS auch während der Verbindung nutzen willst, muss auch _nach_ dem Verbidungsaufbau dein NS in /etc/resolv.conf stehen, ansonsten wird der gar nicht benutzt.

Klar, ich verstehe nur nicht was yast anbietet.

Ich hoffe, das ist jetzt klarer. Andreas

Al Bogner

11:52

Am Montag, 9. Februar 2004 07:33 schrieb Andreas Kyek:

...

...
Da gibt es eine Option "Während Verbindung DNS ändern" _Nur_ wenn diese Option aktiv ist, kann man in "Nameserver Erstens / Zweitens" etwas eintragen.

Warum willst Du hier was Eintragen?

"Warum" ist nicht die Frage, sondern _wozu_ die beiden Felder in yast sinnvoll genutzt werden können.

...

IMO stellst Du am besten das "Während Verbindung DNS ändern" ab

Ja, so habe ich es auch gemacht.

...

sollte vor, während und nach der Einwahl ausschliesslich dein lokaler DNS stehen. Jede Query geht dann IMMER an deinen lokalen DNS. Weiss der die Antwort nicht, dann befragt er seine Forwarders usw.

Ist klar und so funktioniert es hier auch.

...

...
Klar, ich verstehe nur nicht was yast anbietet.

Ich hoffe, das ist jetzt klarer.

Leider nein, ich weiß zwar was zu tun ist, damit es so funktioniert, wie ich es mir vorstelle, kapiere aber den Sinn der Felder in yast nicht. Eventuell könnte ich mir vorstellen, dass die mit yast dort eingetragenen DNS-Server dann wirksam werden, wenn vom ISP keine DNS-Server geschickt werden. BTW: Wo beginnt man am besten zu bind9 Details nachzulesen. Aus der Manpage The named configuration file is too complex to describe in detail here. A complete description is provided in the BIND 9 Administrator Reference Manual. In /usr/share/doc/packages/bind9/ gibt es eine Reihe von Dokumenten aber ein Reference Manual habe ich nicht gefunden. Dieter hat in diesem Thread ja schon auf die Option datasize hingewiesen. Mir ist aber nicht klar, wie die Größe anzugeben ist, den kB-Wert als Zahl? Ich denke mir, dass der Default-Wert des Caches sinnvoll gewählt wurde, wundere mich aber, dass nach Stunden, zB pop.gmx.net, nicht mehr im Cache ist, wobei dieser Server mehrmals pro Stunde verwendet wird. Al

Andreas Kyek

12:48

On Monday 09 February 2004 12:52, Al Bogner wrote:

...

Am Montag, 9. Februar 2004 07:33 schrieb Andreas Kyek:

...
...
Da gibt es eine Option "Während Verbindung DNS ändern" _Nur_ wenn diese Option aktiv ist, kann man in "Nameserver Erstens / Zweitens" etwas eintragen.

Warum willst Du hier was Eintragen?

"Warum" ist nicht die Frage, sondern _wozu_ die beiden Felder in yast sinnvoll genutzt werden können. [...] Leider nein, ich weiß zwar was zu tun ist, damit es so funktioniert, wie ich es mir vorstelle, kapiere aber den Sinn der Felder in yast nicht. Eventuell könnte ich mir vorstellen, dass die mit yast dort eingetragenen DNS-Server dann wirksam werden, wenn vom ISP keine DNS-Server geschickt werden.

Genau das wäre auch meine Theorie (wobei ich keinen Provider kenne, der das bräuchte). Eine andere Erklärung wäre evtl. die Möglichkeit, die vom Provider übergebenen DNS mit eigenen (warum auch immer präferierten) DNS überschreiben zu können.

...

BTW: Wo beginnt man am besten zu bind9 Details nachzulesen.

Ich hab' mir dazu so'n schönes Buch von O'Reily geholt. Aber das muss jeder selber wissen. Andreas

Dieter Kluenter

13:06

Al Bogner writes:

...

Am Montag, 9. Februar 2004 07:33 schrieb Andreas Kyek:

...

In /usr/share/doc/packages/bind9/ gibt es eine Reihe von Dokumenten aber ein Reference Manual habe ich nicht gefunden.

Das html Verzeichnis

...

Dieter hat in diesem Thread ja schon auf die Option datasize hingewiesen. Mir ist aber nicht klar, wie die Größe anzugeben ist, den kB-Wert als Zahl?

Du wirst wohl Byte angeben können, aus der options.html datasize The maximum amount of data memory the server may use. The default is default.

...

Ich denke mir, dass der Default-Wert des Caches sinnvoll gewählt wurde, wundere mich aber, dass nach Stunden, zB pop.gmx.net, nicht mehr im Cache ist, wobei dieser Server mehrmals pro Stunde verwendet wird.

Ganz einfach, die TTL für pop.gmx.net ist abgelaufen. Der Eintrag bleibt so lange im Cache, wie die TTL aktuell ist. Einmal stündlich wird der Cache nach abgelaufenen TTL's überprüft und die entsprechenden Einträge gelöscht. Die Anzahl der gelöschten Einträge findest du dann in /var/log/messages. Übrigens da fällt mir ein, daß du einmal gefragt hattest, wie man einen Dump des Caches erstellen kann. Stelle die PID des named Prozesses fest, dann kill -INT PID Den Dump findest du dann in /var/named/named_dump.db -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de

Al Bogner

18:51

Am Montag, 9. Februar 2004 14:06 schrieb Dieter Kluenter:

...

...
In /usr/share/doc/packages/bind9/ gibt es eine Reihe von Dokumenten aber ein Reference Manual habe ich nicht gefunden.

Das html Verzeichnis

In 8.2 ist das /usr/share/doc/packages/bind9/arm/ Es muß einem erst klar werden, dass arm für "Administrator Reference Manual" steht

...

...
Dieter hat in diesem Thread ja schon auf die Option datasize hingewiesen. Mir ist aber nicht klar, wie die Größe anzugeben ist, den kB-Wert als Zahl?

Aus file:/usr/share/doc/packages/bind9/arm/Bv9ARM.ch06.html "A number can optionally be followed by a scaling factor: K or k for kilobytes, M or m for megabytes, and G or g for gigabytes, which scale by 1024, 1024*1024, and 1024*1024*1024 respectively."

...

Du wirst wohl Byte angeben können, aus der options.html

Eine options.html gibt es hier nicht.

...

datasize The maximum amount of data memory the server may use. The default is default.

D.h. der Cache wächst solange bis das RAM voll ist? Du schriebst einmal: "Die Cachegröße kannst du negieren, die beträgt in einem privaten "Netz nicht mehr als 200K. Ist das ein Erfahrungswert? Der DNS-Server für ein kleines Netzwerk hat 192MB RAM und ist auch noch Mailserver, Newsserver, Printserver und Proxy. Empfiehlt es sich die Default-Einstellungen zu ändern? recursive-clients The maximum number of simultaneous recursive lookups the server will perform on behalf of clients. The default is 1000. Because each recursing client uses a fair bit of memory, on the order of 20 kilobytes, the value of the recursive-clients option may have to be decreased on hosts with limited memory. Macht es Sinn den Wert bei 10 Rechnern im Netz zu definieren? tcp-clients The maximum number of simultaneous client TCP connections that the server will accept. The default is 100. Macht es Sinn den Wert bei 10 Rechnern im Netz zu definieren? max-cache-size The maximum amount of memory to use for the server's cache, in bytes. When the amount of data in the cache reaches this limit, the server will cause records to expire prematurely so that the limit is not exceeded. In a server with multiple views, the limit applies separately to the cache of each view. The default is unlimited, meaning that records are purged from the cache only when their TTLs expire. Wären hier 10MB für ein Netzwerk mit 10 Rechnern ein guter Wert? Al

Dieter Kluenter

20:44

Hallo, Al Bogner writes:

...

Am Montag, 9. Februar 2004 14:06 schrieb Dieter Kluenter: [...] "A number can optionally be followed by a scaling factor: K or k for kilobytes, M or m for megabytes, and G or g for gigabytes, which scale by 1024, 1024*1024, and 1024*1024*1024 respectively."

...
Du wirst wohl Byte angeben können, aus der options.html

Eine options.html gibt es hier nicht.

Ist wohl die gleiche Information, mein Server ist noch SuSE-8.0

...

...
datasize The maximum amount of data memory the server may use. The default is default.

D.h. der Cache wächst solange bis das RAM voll ist?

Nein, wenigstens nicht BIND cache, frage mich aber nicht wo das Maximum liegt.

...

Du schriebst einmal: "Die Cachegröße kannst du negieren, die beträgt in einem privaten "Netz nicht mehr als 200K.

Ist das ein Erfahrungswert?

Ja, ich habe gerade mal einen Dump gemacht, der hat ca. 25 K, gehe davon aus, das ein Eintrag ca. 1 KB hat, ein kleines privates Netzwerk hat nicht mehr als 100 unterschiedliche Verbindungen im Cache. Mit BIND8 hatten wir mal einen Dump von ca. 1MB, da waren aber auch über 100 Hosts im Netz. Ich weiß, das die Dateigröße eines Dump nicht mit dem Inhalt des Caches verglichen werden kann, aber es ist doch ein guter Anhalt.

...

Der DNS-Server für ein kleines Netzwerk hat 192MB RAM und ist auch noch Mailserver, Newsserver, Printserver und Proxy.

Empfiehlt es sich die Default-Einstellungen zu ändern?

Nein. Auf meinem Server laufen cyrus-imap, postfix, openldap und Bind9, Apache. Der Server hat 128 MB RAM, free zeigt mir, daß insgesamt 45 MB im Cache sind, davon ist der kleinste Anteil DNS.

...

recursive-clients The maximum number of simultaneous recursive lookups the server will perform on behalf of clients. The default is 1000. Because each recursing client uses a fair bit of memory, on the order of 20 kilobytes, the value of the recursive-clients option may have to be decreased on hosts with limited memory.

Macht es Sinn den Wert bei 10 Rechnern im Netz zu definieren?

Nein, ernsthaft nicht, nur wenn du einige tausend Clients verwaltest.

...

tcp-clients The maximum number of simultaneous client TCP connections that the server will accept. The default is 100.

Macht es Sinn den Wert bei 10 Rechnern im Netz zu definieren?

Nein, wozu denn, der named langweilt sich sowieso.

...

max-cache-size [...] Wären hier 10MB für ein Netzwerk mit 10 Rechnern ein guter Wert?

Ich hatte sehr sehr selten Veranlassung, an den Defaulteistellungen etwas zu ändern. Wenn du feststellen möchtest, ob es bei den Defaulteinstellungen irgendwelche Probleme gibt, dann schalte für einige Stunden Debugging ein, das erhöht zwar die Last, da ja auch noch auf die Platte geschrieben werden muß, aber den Server wird eh nicht ausgelastet sein, Debugging einschalten: kill -USR1 <PID> Debugging ausschalten kill -USR2 <PID> Die Debugging Meldungen findest du dann in /var/named/named.run Keine Angst vor dem kill, damit wird nicht der Prozess beendet, sondern nur das definierte Signal übergeben. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de

Al Bogner

22:49

Am Montag, 9. Februar 2004 21:44 schrieb Dieter Kluenter:

...

...
...
datasize The maximum amount of data memory the server may use. The default is default.

D.h. der Cache wächst solange bis das RAM voll ist?

Nein, wenigstens nicht BIND cache, frage mich aber nicht wo das Maximum liegt.

Ich zitiere mal komplett: "The maximum amount of data memory the server may use. The default is default. This is a hard limit on server memory usage. If the server attempts to allocate memory in excess of this limit, the allocation will fail, which may in turn leave the server unable to perform DNS service. Therefore, this option is rarely useful as a way of limiting the amount of memory used by the server, but it can be used to raise an operating system data size limit that is too small by default. If you wish to limit the amount of memory used by the server, use the max-cache-size and recursive-clients options instead." Ich kann nicht "default is default" interpretieren und damit ist der nächste Satz auch nicht klar verständlich. Ich hätte aber gemeint, dass der Speicher genutzt wird, bis nichts mehr frei ist, sofern man "max-cache-size" nicht definiert hat.

...

...
Empfiehlt es sich die Default-Einstellungen zu ändern?

Nein. Auf meinem Server laufen cyrus-imap, postfix, openldap und Bind9, Apache. Der Server hat 128 MB RAM, free zeigt mir, daß insgesamt 45 MB im Cache sind, davon ist der kleinste Anteil DNS.

Das sieht hier so ähnlich aus. Mir ist nur lieber der Cache muß öfters aktualisiert werden als, dass die Viren- / Spamprüfung langsamer wird.

...

Ich hatte sehr sehr selten Veranlassung, an den Defaulteistellungen etwas zu ändern. Wenn du feststellen möchtest, ob es bei den Defaulteinstellungen irgendwelche Probleme gibt, dann schalte für einige Stunden Debugging ein, das erhöht zwar die Last, da ja auch noch auf die Platte geschrieben werden muß, aber den Server wird eh nicht ausgelastet sein, Debugging einschalten:

Unter 6.2.10. logging Statement Definition and Usage findet man Erklärungen zum Logging. Was verwendest du fürs Logging? Übrigens dein "Nasenbohrer"-Beispiel hat hier nicht funktioniert. Da wurde dann gar nichts mehr aufgelöst. Was hat es denn mit "6.2.14.15. The Statistics File" auf sich? Wie geht das mit memstatistics-file? Die dialup-Option habe ich auch nicht verstanden, was die bei einem kleinen Netzwerk bringen soll. Die paar Rechner produzieren nicht wirklich Last.

...

kill -USR1 <PID> Debugging ausschalten kill -USR2 <PID> Die Debugging Meldungen findest du dann in /var/named/named.run

Wo ist der verwertbare Informationsunterschied zwischen Debugging und "Statistik?" Al

Dieter Kluenter

10 Feb 10 Feb

08:24

Al Bogner writes:

...

Am Montag, 9. Februar 2004 21:44 schrieb Dieter Kluenter:

...
...
...
datasize The maximum amount of data memory the server may use. The default is default.

D.h. der Cache wächst solange bis das RAM voll ist?

Nein, wenigstens nicht BIND cache, frage mich aber nicht wo das Maximum liegt. [...] Ich kann nicht "default is default" interpretieren und damit ist der nächste Satz auch nicht klar verständlich. Ich hätte aber gemeint, dass der Speicher genutzt wird, bis nichts mehr frei ist, sofern man "max-cache-size" nicht definiert hat.

Na ja, die Speicherverwaltung des Kernels spielt da ja auch noch eine Rolle. Ein Drittel des gesamten Speicherbereiches wird für den Kernel reserviert, die restlichen zwei Drittel sind Userspace, dazu gehört dann noch Swap.

...

Das sieht hier so ähnlich aus. Mir ist nur lieber der Cache muß öfters aktualisiert werden als, dass die Viren- / Spamprüfung langsamer wird.

BIND aktualisiert den Cache ja nicht, wenn kein Platz mehr vorhanden ist, sondern kann dann die gesuchte Adresse nicht mehr auflösen, die Daten im Cache werden nur nach abgelaufener TTL aktualisiert. Für die Viren- und Spamprüfung gibt es ja dann noch den Swap-Bereich :-)

...

Unter 6.2.10. logging Statement Definition and Usage findet man Erklärungen zum Logging. Was verwendest du fürs Logging?

syslog,

...

Übrigens dein "Nasenbohrer"-Beispiel hat hier nicht funktioniert. Da wurde dann gar nichts mehr aufgelöst.

Hilf mir auf die Sprünge, die Mails dieser Liste haben bei mir nur eine TTL von drei Tagen. Ich erinnere mich, daß ich irgendwo eine 'nasenbohrer' Regel definiert habe. Alles was ich als Konfiguratioin oder Scriptbeispiel schreibe, wird von mir entweder vorher geprüft, oder es entstammt einer funktionsfähigen Anwendung. Möglicherweise ist durch cut'n paste ein Semikolon oder eine Klammer verloren gegangen. Was habe ich denn da geschrieben?

...

Was hat es denn mit "6.2.14.15. The Statistics File" auf sich? Wie geht das mit memstatistics-file?

Das wird bei mir stündlich nach /var/log/messages geschrieben. Hier ein Beispiel: (extreme Zeilenlänge) Feb 10 08:34:37 pink named[265]: USAGE 1076398477 1075847656 CPU=7.99u/5.72s CHILDCPU=0u/0s Feb 10 08:34:37 pink named[265]: NSTATS 1076398477 1075847656 A=4391 NS=1 PTR=175 MX=2227 TXT=98 AAAA=104 ANY=93 Feb 10 08:34:37 pink named[265]: XSTATS 1076398477 1075847656 RR=962 RNXD=45 RFwdR=480 RDupR=0 RFail=0 RFErr=0 RErr=1 RAXFR=0 RLame=3 ROpts=0 SSysQ=443 SAns=7079 SFwdQ=303 SDupQ=466 SErr=9 RQ=7089 RIQ=0 RFwdQ=303 RDupQ=3 RTCP=0 SFwdR=480 SFail=0 SFErr=0 SNaAns=543 SNXD=2176 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0

...

Die dialup-Option habe ich auch nicht verstanden, was die bei einem kleinen Netzwerk bringen soll. Die paar Rechner produzieren nicht wirklich Last.

Es geht nicht um die Last, sondern um das Cacheverhalten. Bei einer Festnetzanbindung wird in einkompilierten Perioden der Cache aktualisiert, dies ist als Default 1 Stunde, unabhängig davon, ob die Daten umgehend benötigt werden, oder nicht. Bei 'dialup' bleibt zwar die Aktualisierungsperiode erhalten, aber wird nicht sofort ausgeführt, wenn kein Bedarf besteht. Statt einer Stunden bleiben die Daten dann max. 3 Stunden im Cache. So kannst du ungewolltes und unkontrolliertes Einwählen verhindern.

...

...
kill -USR1 <PID> Debugging ausschalten kill -USR2 <PID> Die Debugging Meldungen findest du dann in /var/named/named.run

Wo ist der verwertbare Informationsunterschied zwischen Debugging und "Statistik?"

Debugging liefert umfangreichere Informationen, auch über Ursachen von Fehlverhalten, während Statistik, wie der Name schon sagt, nur statistisch relevante Auswertungen liefert. (siehe oben). Es ist möglich, mehrere Debugging-Stufen hinzuzufügen, in der dritten Stufe werden dann auch Systemcalls protokolliert. Die nächsthöhere Stufe wird durch zusätzliches kill -USR1 <PID> hinzugefügt. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de

Al Bogner

5 Feb 5 Feb

23:15

Am Donnerstag, 5. Februar 2004 23:11 schrieb Al Bogner:

...

Wie kann ich herausfinden, ob tatsächlich der "forwarder" abgefragt wird, den ich eingetragen habe:

Ich habe als Notlösung tcpdump verwendet und die Abfrage wird dorthin forgewardet, das ich eingetragen habe.

...

Was ändert die resolv.conf

Hier rätsle ich noch immer. Ich habe an 2 Stellen DNS-Server eingegeben, bei der Netzwerkkartenkonfiguration und beim Provider. Wenn ich beim Provider unter "yast" den DNS-Server-Wechsel deaktiviere, dann bleibt 127.0.0.1, wenn ich auf "ändern" eingestellt habe, aber 127.0.0.1 als Änderung einstelle, dann werden irgendwo die früher verwendeten DNS-Server geholt. Al

Dieter Kluenter

6 Feb 6 Feb

08:04

Hallo, Al Bogner writes:

...

Ich gehe die Sache nun eher langsam an, um dazu zu lernen, was passiert.

Fürs erste habe ich mal "caching only" probiert. Das scheint soweit zu funktionieren:

...

Wie kann ich herausfinden, ob tatsächlich der "forwarder" abgefragt wird, den ich eingetragen habe:

forwarders { 217.5.115.7; 194.25.2.129; };

In "messages" finde ich dazu keine Antwort.

Was ändert die resolv.conf

Offline habe ich:

domain local nameserver 127.0.0.1 nameserver 127.0.0.1

Sobald ich online gehe, ändert sich das auf

domain local nameserver 195.3.96.68 nameserver 195.3.96.67

Das ist nicht mehr dein DNS, auch nicht dein Forwarder

...

Unter yast / Netzwerkgeräte / ISDN / Provider bearbeiten / DNS-Server habe ich 127.0.0.1 eingetragen und keinen 2. DNS-Server

Du hast vergessen, /etc/ppp/ioptions.ippp0 zu editieren. Da steht irgendwo gegen Ende 'ms-get-dns', diesen Eintrag kommentieren, also mit einem Gatter versehen. Die Anweisung 'ms-get-dns' führt dazu, daß ip-up eine neue resolve.conf schreibt, dein eigener DNS wird dannn nicht mehr befragt, sieh dir das Script ip-up mal genau an. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de

7378

Age (days ago)

7388

Last active (days ago)

List overview

Download

33 comments

12 participants

participants (12)

Al Bogner
Andreas Kyek
Dieter Kluenter
Ewald Hacksteiner
Michael Raab
Philipp Thomas
Rafael Kolless
Silvio Rönick
Stefan Onken
Steffen Enke
Thomas Arend
Thomas Vollmer