我正在build立两个DNS服务器。 一个是防火墙/路由器,另一个是内部服务器。 我有很多设置DNS服务器的经验,所以这个问题尤其令人困惑。 机器设置 防火墙外部地址:207.62.233.2 防火墙内部地址:10.24.0.1 次要内部地址:10.24.0.21 主命名.conf(仅限相关部分) options { listen-on port 53 { any; }; listen-on-v6 port 53 { any; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; recursion yes; }; view "internal" { match-clients { 10.24.0.0/16; 127.0.0.1; }; match-recursive-only yes; allow-recursion { clients; }; allow-transfer { 10.24.0.21; }; zone "ct.sierracollege.edu" { type […]
每隔几分钟,我们的思科ASA 5505防火墙就会logging我无法用我有限的思科体验计算出的错误。 Severity Date Time Syslog ID Source IP Destination IP Description 3 Mar 25 2010 17:21:14 305006 8.8.8.8 regular translation creation failed for icmp src inside:10.10.0.206 dst outside:8.8.8.8 (type 3, code 3) 3 Mar 25 2010 17:18:37 305006 8.8.4.4 regular translation creation failed for icmp src inside:10.10.0.206 dst outside:8.8.4.4 (type 3, code 3) logging的内部IP是我们的内部DNS服务器,外部IP是Google的公共DNS服务器,我们在本地BINDconfiguration中用作转发器。 […]
我有一个caching,只有DNS服务器,每秒钟约3k查询。 这里是规格: Xeon dual-core 2,8GHz 4GB of RAM Centos 5x (kernel 2.6.18-164.15.1.el5PAE) bind 9.4.2 rndc状态:recursion客户端:666/4900/5000 每秒约300个新的查询(不在caching中)。 绑定总是在单线程configuration的一个核心上使用100%。 在我重新编译到multithreading后,它在两个核心上使用了近200%:(没有iowait,只有sys和user)我四处search,但是没有看到关于如何绑定使用CPU的信息,为什么会成为瓶颈? 还有一件事,这里是RAM的使用情况: cat /proc/meminfo MemTotal: 4147876 kB MemFree: 1863972 kB Buffers: 143632 kB Cached: 372792 kB SwapCached: 0 kB Active: 1916804 kB Inactive: 276056 kB 我已经设置max-cache-size为0,以确保绑定可以使用尽可能多的RAM,但它总是停在〜2GB。 因为每秒我们都没有caching查询,所以理论上RAM必须耗尽,但事实并非如此。 你有什么主意吗? TIA, -gk
我已经安装绑定DNS服务器在centos上。 从本地局域网它将工作正常,但从远程当我试图nslookup ..它会给答复像“DNS请求超时…超时是2秒”。 问题是什么? 这是我的绑定configuration // Red Hat BIND Configuration Tool options { directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; query-source address * port 53; }; controls { inet 127.0.0.1 allow {localhost; } keys {rndckey; }; }; acl internals { 127.0.0.0/8; 192.168.0.0/24; 10.0.0.0/8; }; view "internal" { match-clients { internals; }; recursion yes; zone "mydomain.com" { […]
我真的想开始利用query.log我们正在保持我们的caching名称服务器。 我偶尔会通过手工查找exception情况或客户发生心跳/保持活跃状态。 在这个文件中有这么多的信息,我希望能够处理它,并根据我们的IP范围graphics显示顶级域名查找,我们的DNS的顶级用户的东西。 对于主pipe漂亮的图表和graphics将是很好的;)我们已经在做每秒查询和其他一些使用bindgraph的graphics,但我想要更多。 有没有人知道任何好的,开源/非商业的解决scheme呢? 我知道板球,rrdtool和一些其他人可以做到这一点,但编写代码来parsing和graphics信息是不是现在的select。 任何其他的想法,我不想从这些机器获取信息?
我想通过dynamic更新手动更改绑定服务器中的一些条目。 但是我找不到任何具体的工具来做这件事。 是否有任何cli应用程序,我可以指定logging添加/删除和发送特定的请求?
我正在考虑将两台(也可能是三台)HP Procurve 1800交换机与中继线或LACP连接起来。 我无法通过Google或这里find任何实质性答案。 我确实在Procurve交换机中发现了Server-to-Trunking这个问题,这是什么意思? 但是这个问题的答案似乎是:a)中继可能意味着什么; 和b)定义LACP。 问题是中继线还是LACP优先? 没有回答 – 它不是切换到交换机,而是切换到服务器。 我也发现这个问题与HP Procurve局域网devise问题,但它也不回答上面提出的问题: 首选的是中继线或LACP? 无论如何,这个问题与HP Procurve 2510相关,而不是HP 1800。 这些问题似乎都没有讨论我们的具体情况。 有三个开关(所有HP 1800): SW1(VLAN1) <-> SW2(VLAN1) <-> SW3(VLAN1) SW2(VLAN6) <-> SW3(VLAN6) 这些交换机都是具有以下软件版本的HP 1800-24G(硬件版本R01): SW1:PB.03.01 SW2:PB.03.01 SW3:PB.03.04 交换机SW2和SW3之间的链路都只允许标记数据包,并且没有PVID(根据帮助文档的build议)。 其他端口是VLAN 1或VLAN 6,并允许所有数据包。 除偶尔的100Mb全双工设置外,所有端口都自动协商; 其他人都是1Gb – 没有10Mb。 问题在于SW2似乎没有快速响应Ping,并经常丢失数据包(如SW3监视主机监视的那样)。 其他开关很好,并作出适当的反应。 主机之间的连接看起来没问题。 来自SW1和SW2的pipe理界面上的HTTP响应看起来比较慢 – 比SW3慢。 我怀疑交通瓶颈,并想创build一个更大的pipe道。 ping到交换机的IP地址,到HTTP端口的连接也显示缓慢的响应时间。 据推测,连接(HTTP和ICMP)在VLAN1上,因为这是IP所在的位置,而VLAN1也是pipe理VLAN。 从阅读其他问题来看,听起来像是一个“中继线”,可以将两个VLAN的stream量合并到同一条线路上,从而将两条连接减less到一条,或者使stream量通过多条线路连接到多个VLAN。 这听起来像中继线可以结合LACP,但这是可取的吗? 我的问题: 在这种情况下,首选还是LACP? […]
像大多数组织一样,我们维护各种分裂的领域,原因是真实的。 由于我们做了什么,我们经常在域的不同实例中使用相同的名称来指向不同的版本,这是我们维护的一个要求。 最近出现的是,这正成为分裂之间的障碍。 在最简单的情况下,我们希望能够向内部用户提供对example.com的访问权限,这个权限既存在于内部也存在于外部。 我们希望能够以example.com的forms访问内部版本,并以ext.example.com的forms访问外部版本。 我们可以从外部提供商将外部区域传输到我们的内部BIND服务器。 我已经在BIND服务器中configuration了一个视图,但没有configuration客户端匹配项,因此它所做的只是为该区域预制区域传输。 然后,我试图在名称为ext.mypna.com的“内部”视图中使用相同的文件作为主文件。 完成此操作后,所有logging都将被绑定为“超出区域的数据”。 筛选内部服务器上的区域文件与外部提供程序,我发现区域传输被标记为“$ ORGIN external.com”和“external.com IN SOA”。 将它们还原为@允许BIND再次使用区域文件,但只是在更新后才会被刷新。 有没有一个标准的方式来实现这种架构?
在Windows AD域环境( MYDOMAIN与DNS后缀mydomain.local ),我有一个服务器与Intranet网站,运行在IIS 7.5上。 我禁用了除Windows身份validation以外的所有身份validation类 当我仅通过http:// mywebsite / (正确设置DNS)访问我的网站时,浏览器会自动login(无需login框)。 但是,当我通过其全名http://mywebsite.mydomain.local/ (DNS也行,我有适当的网站绑定)访问网站时,我不断得到一个login框。 尽pipe我在填写用户名和密码后才得到我的网站,但是我的login框却出现了错误,因为我希望能够通过全名访问网站,但没有login框。 这是因为我有一个完全映射到* .mydomain.local的通配符SSL证书,并且要使其工作,网站必须使用与全名绑定。 (在使用短名称时没有login框,但始终使用完整的DNS名称login框)发生在域中所有服务器的所有网站上。 有想法该怎么解决这个吗?
我安装了virtualmin并使用了DNS设置。 现在当我尝试启动bind9时出现错误: Service bind9 restart * Stopping domain name service… bind9 rndc: connect failed: 127.0.0.1#953: connection refused [ OK ] * Starting domain name service… bind9 [fail] 在/ var / log / syslog的 Oct 11 06:05:45 stock named[6316]: starting BIND 9.8.1-P1 -u bind Oct 11 06:05:45 stock named[6316]: built with '–prefix=/usr' '–mandir=/usr/share/man' '–infodir=/usr/share/info' '–sysconfdir=/etc/bind' '–localstatedir=/var' […]