AW: Problems with bind 9.2.4

Mon Jan 10 13:42:59 UTC 2005

Hallo,
deutsch ist OK ;-)

Am 10.01.2005 um 13:32 schrieb Walkenhorst, Benjamin:
> Mmmh, Du meinst, dass Du Deine/n Nameserver eine Anfrage beantworten=20=

> l=E4sst,
> f=FCr die Dein/e Server nicht authoritativ sind.
> Verwendest Du Forwarder?
> In dem Fall w=FCrde BIND seine Anfrage zun=E4chst an die Forwarder=20
> weiterreichen,
> und wenn nicht anders konfiguriert, es erst selbst versuchen, wenn die=20=

> Forwarder
> nicht antworten. Wenn die Forwarder nicht korrekt konfiguriert sind,=20=

> oder z.B.
> dazwischen eine Firewall steht, werden sie nicht antworten, und Dein=20=

> Server wird
> es nach einer gewissen Zeit selbst versuchen.
> Der Default-Timeout liegt glaube ich auch bei ~5 Sekunden, das kl=E4nge=20=

> also gar nicht
> un-plausibel. =3D)
>

Ich verwende keine Forwarder, sondern lasse die nicht aufl=F6sbaren=20
Adressen =FCber die root.hints aufl=F6sen.
Firewall steht auch nicht dazwischen.

>> Perhaps somebody can tell me how i can tune my bind 9.2.4
>> installation.
>> If the asked domain is cached, the answer comes after a few
>> milliseconds.
>> My Server is connected via 100MBit to the internet, so i think thats
>> not the problem.
>
> Ich w=FCrde nach folgenden m=F6glichen Problemen schauen:

> - IPv6? Wenn BIND9 mit IPv6 l=E4uft, kann es vorkommen, dass f=FCr =
jeden=20
> Namen auch ein
>   A6 oder AAAA Record abgefragt wird - wenn der nicht existiert,=20
> wartet BIND den Timeout
>   ab und versucht es dann mit einem A-Record.
>   Oder so =E4hnlich - mit IPv6 kenne ich mich nicht aus, aber damit =
kann=20
> es wohl
>   Probleme geben... In dem Fall solltest Du IPv6 deaktivieren, bzw.=20
> BIND ohne IPv6-Unterst=FCtzung
>   starten. (named -4 ...)

IPv6 ist in der Config ausgetragen, ich h=E4nge sie unten mal an......

> - RAM? Mal angenommen - ist eher unwahrscheinlich, aber m=F6glich - =
BIND=20
> w=FCrde so viel RAM fressen,
>   dass er in den Swap wandert - dann m=FCsste das System den bei=20
> Anfragen wieder "ausgraben", was ebenfalls
>   f=FCr die Latenz zust=E4ndig sein kann. Fragt man dann noch einmal, =
ist=20
> er nat=FCrlich noch nicht wieder im
>   Swap und kann sofort antworten. (Du sagst nicht, was BIND so an=20
> Zonen und Cache schultern muss,
>   aber sofern "several domains and users" nicht arg untertrieben ist,=20=

> sollte es daran nicht liegen.)

Bei dem Server handelt es sich um einen Dual-Xeon 2,8GHz mit 2 GB=20
Ram....

> - Falls weitere Dienste auf der Maschine laufen, k=F6nnten diese=20
> Ressourcen "hoggen" und BIND in seiner
>   Reaktion beeintr=E4chtigen, auch wenn ich in diesem Fall nicht damit=20=

> rechne.
>
>> My OS is FreeBSD 5.3. Perhaps someone has a hint for me.
>
> Neben den angesprochenen Punkten kannst Du noch folgendes=20
> ausprobieren, zur generellen
> Performancesteigerung/-optimierung:
>
> max-ncache-ttl <integer>; # Gibt an, wie lange NXDOMAIN-RRs im Cache=20=

> verbleiben (in Minuten)
> cleaning-interval <integer>; # Gibt an, in welchen Abst=E4nden=20
> abgelaufene RRs aus dem Cache entfernt werden (Minuten)
>
>
> Und zu guter Letzt solltest Du mal einen Blick in das Log von BIND=20
> werfen und schauen, ob die auff=E4llig
> langsamen Reaktionszeiten mit Log-Meldungen zusammenfallen, die einen=20=

> weiteren Hinweis liefern k=F6nnen.
>

Im Log tauchen die folgenden Meldungen auf, wenn ich den Server live=20
nehme und manuell einen Request ansto=DFe:

vl at host:~$ time nslookup quelle.de Serverip
Server:         my-IP
Address:        my-IP#53

** server can't find quelle.de: SERVFAIL

real    0m0.012s
user    0m0.007s
sys     0m0.002s

und im Logfile werden die Requests entgegengenommen:

Jan 10 14:38:34.618 client 127.0.0.1#58867: query:=20
197.59.19.212.in-addr.arpa IN PTR
Jan 10 14:38:34.619 client 127.0.0.1#50095: query: host.de IN A
Jan 10 14:38:34.624 client 127.0.0.1#52386: query:=20
197.59.19.212.in-addr.arpa IN PTR
Jan 10 14:38:34.625 client 127.0.0.1#51738: query: host.de IN A
Jan 10 14:38:37.163 client 127.0.0.1#53747: query: host.de IN AAAA
Jan 10 14:38:37.164 client 127.0.0.1#53917: query: host.de IN A

Das Configfile:

// The version of the HOWTO you read may contain leading spaces
// (spaces in front of the characters on these lines ) in this and
// other files.  You must remove them for things to work.
//
// Note that the filenames and directory names may differ, the
// ultimate contents of should be quite similar though.

options {
         directory "/etc/namedb";

         // Uncommenting this might help if you have to go through a
         // firewall and things are not working out.  But you probably
         // need to talk to your firewall admin.

         // query-source port 53;
         allow-query { 0.0.0.0/0; };
         allow-recursion { 0.0.0.0/0;};
         listen-on-v6 { none; };
         recursive-clients 5000;
// Stats-File generated by rndc stats
         statistics-file "/var/log/named-stats.log";
// max TCP connections
         tcp-clients 2500;
};
logging {
  channel log_channel {
  file "/var/log/named.log";
  print-time yes;
  };
  category queries { log_channel; };
// category config { log_channel; };
// category default { log_channel; };
// category update { log_channel; };
// category update-security { log_channel; };
  category xfer-in { log_channel; };
  category xfer-out { log_channel; };
  category db { log_channel; };
// category load { log_channel; };
  category info { log_channel; };

};

+ die ganzen Zonen.....

Noch ne Idee?

Sch=F6ne Gr=FC=DFe
Volker Lieder=