(免责声明:我不是一个Windows DNSpipe理员,虽然我有相当数量的DNS经验,但这是没有任何意义的。我正在与负责这些设备的pipe理员密切合作,并可以将testing作为必要的。) 我们遇到了一个问题,我们无法在Windows Server 2012中添加指向BIND域名服务器的条件转发器。添加服务器的IP地址导致validation错误: An unknown error occurred while validating the server. 查看BIND服务器上的查询日志,我们发现了一些相当有趣的事情:Windows DNS服务器正在查询. IN SOA . IN SOA ,即根名称服务器的SOAlogging。 没有查询example.com. IN SOA example.com. IN SOA中。 它尝试查询root权限,并在收到REFUSED响应时不继续。 client 192.168.203.20#59067 (.): query: . IN SOA – (192.168.208.201) client 192.168.203.20#50553 (.): query: . IN SOA – (192.168.208.201) client 192.168.203.20#55468 (.): query: . IN SOA – (192.168.208.201) […]
背景: 我已经inheritance了大容量caching域名服务器环境(Redhat Enterprise Linux 5.8,IBM System x3550),其环形缓冲区设置不一致:eth0为1020,eth1为255。 eth0连接到本地数据中心的交换机1,eth1连接到交换机2。 集群中的每台服务器在eth0或eth1是否为活动接口之间进行切换,并且每个集群位于不同的区域。 环形缓冲区显然需要保持一致。 这里是事情变得更加棘手的地方:当研究为什么一些名称服务器频繁地logging“错误发送响应:未设置”错误, ISC知识库build议与出站拥塞有关时,我发现了上述问题 。 具有较高环形缓冲区设置(1020)的服务器会在ifconfig上丢弃更less的数据包(正如人们所期望的那样),但往往会以高频率logging上述错误,在我的最高负载组中,每天约20千次。 我们称之为“第一组”。 具有较低环形缓冲区(255)设置的服务器每天的入站数据包数量明显减less(同样是预期的),但是在同一个负载组中,BIND错误的实例通常为0-150。 这里也不是一个很大的谜团。 cachingDNS是recursion服务:如果某些东西没有被caching,服务器必须代表这个问题进行多个查询,直到它最终能够返回一个答案。 这是(一) – >(多出)查询关系。 修复RX环形缓冲区应该使这个数字在板子上等于一个新的值,从那里调整proc(wmem_max / wmem_default)中的内核出站networking队列可能是个好主意。 我喜欢能够评估configuration变化对性能问题的影响,因此我在写作之前编写了一份报告来收集一些数据,然后才开始进行生产更改。 以下是组1中前两台服务器的输出示例: group1-01 RX: 7166.27/sec av. TX: 7432.57/sec av. RXDROP: 7.43/sec av. unset_err: 27633 group1-02 RX: 7137.37/sec av. TX: 7398.50/sec av. RXDROP: 9.94/sec av. unset_err: 107 这些是公式。 请注意,这是一个本地脚本,不需要依赖每个服务器必须维护的shell脚本。 RXPACK=$(ssh $server "sar […]
我有一个运行DNS和DHCP服务器的Windows 2012域控制器。 只有在DHCP客户端请求的情况下,默认设置才会dynamic更新DNS A和PTRlogging 。 (这是在Scope Properties – > DNS ) 是否有一个缺点,select总是dynamic更新DNS A和PTRlogging ? 有什么区别和dynamic更新DHCP客户端的DNS A和PTRlogging不请求更新(例如,运行Windows NT 4.0的客户端) ?
我遇到了麻烦 ,我有一个正常运行的服务器(httpd,mail,sql),看起来我必须非常快速地防止数据丢失(我的RAIDarrays失败,所以我依赖于一个单一的hdd现在)。 整个系统build立在HowtoForge的howto上,当我读到Squeeze上的这个时 ,看起来好像我可以轻松? 将我的(虚拟)用户迁移到新框中。 我真的知道这是非常具体的问题,但是能否告诉我整个迁移过程中的一些重要问题。 哪些事情可能会很棘手,我最需要关注的地方在哪里? 你将如何开始这个过程? 一些背景资料: 两台服务器相距200公里,因此迁移应该通过互联网进行 这两个服务器将是Debian,旧的是Etch,新的将是Squeeze 关键的服务是邮件,网站可以暂停一段时间 RAID表示RAID 1中的两个磁盘(两台机器) 旧框是所有托pipe域的DNS1 我的(真的)基本概述: build立一个类似旧系统的系统(类似的虚拟邮件结构,存储密码相同的encryptiontypes,因为我不能告诉旧的) 创build一个域,我可以检查一切正常(DNS,电子邮件,万维网是好的) 在域之后迁移域,直到旧域无所事事 我的盲点: 找不到关于如何在Squeeze上执行RAID-1的简要说明(一个Lenny howto就足够了?) 如何在需要时复制特定用户权限的特定文件夹(例如用户的邮件文件夹) ? (rsync会这样做?) 如何在新机器上设置DNS (旧的DNS1) (新机器也应该是DNS,迁移的域名应该使用自己作为DNS1) 如何防止电子邮件丢失(由于DNS刷新时间) (我需要将新机器设置为MX?)
我有一个可以公开访问的名称服务器,因为它是几个域的权威名称服务器 。 目前服务器充斥着伪造types的ANY请求isc.org,ripe.net和类似的(这是一个已知的分布式拒绝服务攻击 )。 服务器运行BIND,并allow-recursion设置到我的局域网,以便这些请求被拒绝。 在这种情况下,服务器仅仅通过authority和additional部分来引用根服务器。 我可以configurationBIND,使其完全忽略这些请求,根本不发送响应?
我现在每次都喜欢在DNS服务器上运行检查,以确保它们正确运行并符合RFC规范。 我曾经使用DNSTools网站来做这件事,因为它给了我一个相当好的情况 – 所有的服务器都响应外部世界,重要的(NS,MX特别是)logging仍然正确地复制。 另外,看看我的MXlogging是否已经成功地将其列入黑名单。 黑名单一直是一种痛苦,因为我一直无法find一个可靠的“一站式服务”,让你检查大部分主要的黑名单。 我有一段时间没有使用DNS工具,现在他们要求你付钱(我没有任何反对意见,当你投资一个大型的内部监控解决scheme时,很难向上级certificate理由,而我只是在做一个“感觉不错“) 我的系统pipe理员使用什么来检查他们的DNSlogging?
当浏览器获得给定主机名称(例如ip1和ip2)的多个Alogging时,有人能够指导我获取有关确切浏览器行为的信息,并且其中一个不可访问。 我对EXACT的细节感兴趣,比如(但不限于): 浏览器会从操作系统获得2个IP,还是只有一个? 浏览器会先尝试哪个ip(随机或总是第一个)? 现在,让我们说浏览器开始与失败的ip1 浏览器要多久才会尝试ip1? 如果用户在等待ip1时点击“停止”,然后点击刷新 哪个IP会浏览器试试? 当它超时会发生什么 – 它会开始尝试ip2或给出错误? (如果错误,当用户点击刷新时,浏览器将使用哪个ip)。 当用户点击刷新,任何浏览器将尝试新的DNS查找? 现在让我们假设浏览器首先尝试使用ip2。 对于下一个页面的请求,浏览器还会使用ip2,还是可能随机切换ips? 浏览器将IP保存在caching中多长时间? 当浏览器发送一个新的DNS请求,并获得SAME ips,它会继续使用相同的已知的工作IP,或该过程从头开始,它可能会尝试任何两个? 当然,这一切都可能依赖于浏览器,也可能在版本和平台之间有所不同,我很乐意拥有最多的细节。 这样做的目的 – 我试图了解什么时候用户将遇到什么时使用循环DNS基于使用和主机之一失败。 请不要问DNS负载平衡有多糟糕,请不要回答“不要这样做”,“这是一个坏主意”,“你需要心跳/代理/ BGP /不pipe”等等。
直到现在,我还是非常有信心地列出名称服务器处理的所有域名是不可能的。 但显然,在互联网上有几个网站能够列出所有注册在域名服务器上的域名。 例如: http://www.gwebtools.com/ns-spy/udns1.ultradns.net 或指向特定IP的所有域: http://www.robtex.com/ip/190.7.200.92.html (这些DNS / IP是随机选取的) 你知道它是如何完成的吗?
我们有一个办公室A的Intranet DNS服务器(RHEL上的system-config-bind)和一个连接办公室A和B的VPN。办公室A有一台名为“dev”的服务器。 在办公室A,要访问本地networking上的服务器“dev”,地址是192.168。 1 .13 在办公室B,通过VPN访问服务器“dev”,地址是192.168。 2 .13 我的问题是这样的 – 我可以设置DNS服务器根据传入的请求的子网返回一个不同的IP“dev”? 例如:在办公室A,BIND返回192.168。 1.13作为“dev”IP,因为发起请求来自192.168。 1/24子网。 在办公室B,BIND返回192.168。 2.13作为“dev”IP,因为发起请求来自192.168。 2/24子网。
我目前正在评估Server 2012作为Linux和Windows工作站和服务器的小型异构networking中的域控制器,所有这些都将最终join到域中。 这是一个100%的双栈networking; 每个设备都具有IPv4和IPv6连接。 路由器是运行radvd 1.9.1和其他各种必需品的Linux服务器。 我刚安装了第一个域控制器, 它的域名是ad.businessname.com (其中businessname.com是由外部DNS服务器处理;该域也有公共网站,电子邮件等,这些将不会被join到域)。 它是安装了AD DS和DNSangular色的服务器核心。 一切似乎都很好,我准备build立第二个DC,并开始join电脑,但… 现在我的networking上有额外的IPv6路由器广告,宣传唯一本地地址 。 它还广告实际路由器正在广告的本地IPv6前缀。 起初我以为这些RA是源自域控制器,因为它们在我closures时就消失了,但在运行Wireshark之后,我发现它们来自我的实际IPv6路由器。 Wireshark表明,这个版本的RA很快就会来自DC的fd4a:e7ab:34a5 :: 1的邻居请求。 奇怪的是,路由器也发送当networking域控制器不存在时通常发送的原始路由通告。 RA的这个版本匹配/etc/radvd.conf (副本如下)。 与Wireshark的快速会话证实,这两个版本的路由器通告都来自运行radvd的Linux路由器的MAC地址。 到目前为止,这些似乎无害,因为我的IPv6连接还没有被额外的RA的存在所中断。 但是由于我已经拥有全球的IPv6连接,所以ULA看起来没有必要和不必要。 我已经花了大量的时间和今天的互联网去尝试弄清楚发生了什么事情,但是除了暗示可能与IP助手服务有关的事情之外,没有什么可以解释的东西(模糊的警告不是把它关掉)。 但据我所知,当本地IPv6可用时禁用此服务应该是安全的。 所以我的问题是: 为什么Windows为ULAnetworking发送邻居请求? 为什么这些RA被发送,显然是作为回应? 为什么除了我的本地地址之外,他们还宣传ULA? 这不会导致以后的IPv6路由问题吗? 我必须忍受这一点,或者我怎样才能使Windows和RADVD的行为? 各种configuration信息如下: 这里是一个被发送的RA(如radvdump所示,比IMO Wirehark的输出更容易读取)。 你可以看到它是广告ULA和公共前缀(在这里模糊)。 当我closures域控制器时,这个版本的RA停止出现在networking上。 # # radvd configuration generated by radvdump 1.9.1 # based on Router Advertisement from fe80::20c:29ff:fef4:66f1 # received […]