作者 主題: 關於Bind software的奇怪疑問....  (閱讀 7132 次)

0 會員 與 1 訪客 正在閱讀本文。

anderson1127

  • 訪客
關於Bind software的奇怪疑問....
« 於: 2010-07-13 21:43 »
這個問題,我想了許久,一直沒答案,沒想到更換到最新版本bind-9.7.1 問題就全解決了....

原本用的版本是有一點久了,但之前用一直沒問題,擔任recursive query 一直很順
版本是9.2.3 , 大概持續了約半年了吧? 狀況一直不穩定...

問題就是,有時後會query不到Domain Name的IP address , 如花花世界論壇
還有一些小型網站, 518人力銀行(那個數字科技的網站也常出現query不到的狀況)
總之太多了....

但是從named的log也看不出個所以然,用nslookup也不大會出現time out or no response
但就是偏偏query不到Domain name , 原本以為是iptables rule的影響,全移除本機access rule
把INPUT chain也改成ACCEPT,狀況依舊... Browser 還是有回應找不到網站的資訊...
然後多refresh 幾次,就又可以找到網站了...

直到前幾天,受不了這種狀況,download最新版本的bind-9.7.1 來compile , 設定檔原封不到移過來
iptables也維持原設定,該開放的開放,關閉的關閉...

一直測到現在,完全沒問題了...query 速度還比有問題的時後快速, 真是搞不懂啊....

u8526425

  • 俺是博士!
  • *****
  • 文章數: 1135
  • 性別: 男
    • 檢視個人資料
回覆: 關於Bind software的奇怪疑問....
« 回覆 #1 於: 2010-07-13 22:23 »
有時候
trace一下change history會有一些眉目
多見者博,多聞者智,拒諫者塞,專己者孤

anderson1127

  • 訪客
回覆: 關於Bind software的奇怪疑問....
« 回覆 #2 於: 2010-07-13 22:33 »
change history !?

可以請教一下該如何查看 ?  我的習慣是用nslookup , dig 反而不會...
不然就是用nslookup裡的debug mode , 仍然看不出來問題點...

我反覆想了很多,原本還想把很舊的 named.root 給更換掉 , 看看會不會有改善
說不定是這些root server因為流量大反應慢也說不定, 要不就是root server有更換過
我手頭上的設定檔是蠻舊了...

但是,更換新版之後的bind, 就一切正常了...像是什麼都沒發生過似的...

u8526425

  • 俺是博士!
  • *****
  • 文章數: 1135
  • 性別: 男
    • 檢視個人資料
回覆: 關於Bind software的奇怪疑問....
« 回覆 #3 於: 2010-07-13 22:52 »
bind版更的release note中
通常都會寫點東西
類似下面這樣
可以慢慢找回去

Changes since 9.6.2:

   --- 9.6.2-P2 released ---

2876.   [bug]      Named could return SERVFAIL for negative responses
         from unsigned zones. [RT #21131]

   --- 9.6.2-P1 released ---

2852.   [bug]      Handle broken DNSSEC trust chains better. [RT #15619]
多見者博,多聞者智,拒諫者塞,專己者孤

anderson1127

  • 訪客
回覆: 關於Bind software的奇怪疑問....
« 回覆 #4 於: 2010-07-14 09:56 »
原來如此....

我還以為是named 運作中的change history , 這下誤會可大了...
真是抱歉!!

馬上去看看,謝謝您的告知!!

jonathan_lwo

  • 活潑的大學生
  • ***
  • 文章數: 320
    • 檢視個人資料
回覆: 關於Bind software的奇怪疑問....
« 回覆 #5 於: 2010-07-14 12:56 »

直到前幾天,受不了這種狀況,download最新版本的bind-9.7.1 來compile , 設定檔原封不到移過來
       iptables也維持原設定,該開放的開放,關閉的關閉...

一直測到現在,完全沒問題了...query 速度還比有問題的時後快速, 真是搞不懂啊....

有需要移設定檔嗎?
幾天前也在玩新版的bind
就原本的dns server
下載新版的bind  後,把它升級,設定檔也不需要動啊


另外centos 或是redhat 都一樣,做yum update 、up2date
後,bind 的版本還是9.2.3左右的,
怎麼都沒更新到9.7.1??
« 上次編輯: 2010-07-14 13:02 由 jonathan_lwo »

anderson1127

  • 訪客
回覆: 關於Bind software的奇怪疑問....
« 回覆 #6 於: 2010-07-14 14:45 »
說來慚愧...

我還不會用yum 等等的tool ...
到現在也都還堅守著Fedora 6 , 原始安裝就不裝Xorg等軟體,純文字模式對我來說比較好用!!
安裝時一堆的Application & Server software都沒裝 , 只要有gcc 給我compile software就可以 !!

所以,bind software都是我自己compile 安裝起來的, 版本的control都是自己來!!

因此,設定檔需要移動,因為我裝在不同的目錄下...

named.root的確需要更新(請自行去ftp.internic.net/domain/named.root 去download )
我的named.root是2004年的版本了, 2010年的版本甚至都有ipv6的address ...

總之,問題解決了,只是覺得很怪而已,怪到自己都覺得受不了...才想說更新一下bind軟體 !!

HaWay

  • 大隻佬!
  • 老人組
  • 俺是博士!
  • *****
  • 文章數: 3980
    • 檢視個人資料
回覆: 關於Bind software的奇怪疑問....
« 回覆 #7 於: 2010-07-18 10:07 »
整個 DNS 的查詢流程並不是只靠你的 named 就可以完成整個任務,
在遞迴查詢的過程中會連線到很多的 DNS 伺服器,當其中任何一段出錯,
都有可能導致整個查詢出錯,甚至可能是別人 DNS 的設定錯誤也會讓你查不到 IP

另外如果你想讓整個遞迴查詢更能夠查到資料,其實你不應該換 bind 9.7.1
你應該去換 bind 8.x 系列的,因為 bind9 對於 DNS query 的過程其實更嚴謹,
但 bind 8.x 的安全性問題需要多考慮
我做人那麼 nice, 肯定有什麼誤會.....

anderson1127

  • 訪客
回覆: 關於Bind software的奇怪疑問....
« 回覆 #8 於: 2010-07-20 10:33 »
整個 DNS 的查詢流程並不是只靠你的 named 就可以完成整個任務,
在遞迴查詢的過程中會連線到很多的 DNS 伺服器,當其中任何一段出錯,
都有可能導致整個查詢出錯,甚至可能是別人 DNS 的設定錯誤也會讓你查不到 IP
代理tw的dns server應該不會有問題,這點我很肯定,雖說幾年前曾發生過香港某一台
tw的dns server不回應tw的query , 我當時也debug查了又查才確定這點...
這事情也過去很久了...
引用
Non-authoritative answer:
com.tw  nameserver = a.twnic.net.tw.
com.tw  nameserver = b.twnic.net.tw.
com.tw  nameserver = f.twnic.net.tw.
com.tw  nameserver = e.twnic.net.tw.
com.tw  nameserver = c.twnic.net.tw.
com.tw  nameserver = g.twnic.net.tw.
com.tw  nameserver = ns2.cuhk.edu.hk.
com.tw  nameserver = d.twnic.net.tw.

Authoritative answers can be found from:
b.twnic.net.tw  internet address = 203.73.24.203
c.twnic.net.tw  internet address = 168.95.192.10
ns2.cuhk.edu.hk internet address = 137.189.6.21
ns2.cuhk.edu.hk has AAAA address 2405:3000:3:60::21

引用
另外如果你想讓整個遞迴查詢更能夠查到資料,其實你不應該換 bind 9.7.1
你應該去換 bind 8.x 系列的,因為 bind9 對於 DNS query 的過程其實更嚴謹,
但 bind 8.x 的安全性問題需要多考慮
當初9.2.3出問題時,我用nslookup反覆查了又查,狀況真的很怪,連nslookup debug mode
都看不出個所以然, 我又把nslookup直接設定到對方的Name server ,都可以查詢到對方所代理的
Domain Query , 所以才想說試著更換dns版本 , 看看是不是會好些,一換上去,再運作recursive query
就再也沒有發生之前的query不到的問題 , 這狀況也才告一段落,一直到現在都很正常!!