Flavio Visentin ha scritto:
Veramente siamo primari per una ventina di dns. Debbo ancora provare il suggerimento del diaolin riferito alla cache, perché senza credo che qualunque sistema come il nostro entri in crisi senza che ridondanze di dns, secondari etc possano far nulla. I client puntano ai resolver locali, i resolver locali debbono poter accedere al dns per la risoluzione locale o essere gli stessi dns locali, quindi senza giochi sulla cache che impongono una cachizzazione negativa temporanea non ne esci.On 10/26/2011 01:03 PM, Ezio Paglia wrote:Al di là delle ridondanze che possiamo dare ai nostri dns, abbiamo il problema che quelle sporadiche volte che internet è giù anche tutti i servizi intranet sono nella pratica irraggiungibili.Il che significa che non hai dei DNS ma hai solo dei resolver.
E' successo 2 volte in un anno. Verosimilmente il fornitore che è internazionale attua delle modifiche di cui ci rendiamo conto a posteriori. A parer mio il problemaI client si riferiscono ad un resolver che coincide con il server dns comunale, che a sua volta ha dei resolver esterni del fornitore internet.Se hai dei DNS interni è scorretto impostare dei forwarders. Un DNS interno dovrebbe sempre puntare ai root DNS per molteplici ragioni, tra cui le problematica di sicurezza. Se usi un forwarder non puoi fare affidamento sulle risposte DNS che questo ti passa, mentre puntando direttamente ai root dns, per le zone firmate con dnssec (aka quasi tutte tranne la .it), eventuali manipolazioni sarebbero scoperte.
Se punti sempre ai root server sei molto molto più lento, per forza di cose.
Sono dns veri e tanti, gestiti in bind9, con le problematiche della definizione sull'inside, sulle dmz, sull'outside, della risposta differenziata a seconda del sorgente della query.Accade talvolta che agli stessi resolver debba cambiare priorità, oppure debba escluderli per andare direttamente sui root server;Quindi perché non lasciarli esclusi che è anche la configurazione corretta?ma questo accade quando internet è su e il fornitore ha qualche problema sui suoi resolver.Il che la dice lunga sull'affidabilità del fornitore.Tuttavia quando internet è proprio giù, le richieste si accodano sul dns che si intasa e non risponde, bloccando quindi l'accesso a tutti i servizi comunali.Perché non si tratta di un DNS.
Idee ?Come già suggerito installa Bind o dnsmasq. Il primo più completo, il secondo più semplice. E non usare alcun tipo di forwarders che non servono a nulla se non per creare problemi.
Ciao. Ezio. -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx