Странное поведение DNS-сервера

@Laroux · Регистрация: 21.11.2014

Студворк — интернет-сервис помощи студентам

Сразу прошу прощения, что, возможно, не в ту ветку пишу, но не смог ничего более подходящего выбрать.

Итак: имеется собственноручно поднятый на Debian 8.5 и на нем BIND 9.9.5-9+deb8u6-Debian (Ext/ Support Version) c IP 10.23.0.2.
По какому мануалу поднимал уже и не помню.

Работал всегда адекватно. И с недавнего времени начались траблы (которые лечатся рестартом bind9 или ребутом):
вот запросы с виндовой машинки, у которой DNS-сервером (для примера показываю с gmail и google что происходит. По ощущениям большинство сайтов из зоны ru работают, а из других зон - или все не работают, или очень малая часть):

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
C:\Users\Roman>nslookup gmail.com
╤хЁтхЁ:  UnKnown
Address:  10.23.0.2
 
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** UnKnown не удалось найти gmail.com: Server failed
 
C:\Users\Roman>nslookup google.com
╤хЁтхЁ:  UnKnown
Address:  10.23.0.2
 
*** UnKnown не удалось найти google.com: Server failed
 
C:\Users\Roman>nslookup google.ru
╤хЁтхЁ:  UnKnown
Address:  10.23.0.2
 
Не заслуживающий доверия ответ:
╚ь*:     google.ru
Addresses:  2a00:1450:401b:801::2003
          188.43.65.208
          188.43.65.227
          188.43.65.241
          188.43.65.249
          188.43.65.212
          188.43.65.219
          188.43.65.216
          188.43.65.229
          188.43.65.251
          188.43.65.230
          188.43.65.218
          188.43.65.238
          188.43.65.240
          188.43.65.234
          188.43.65.245
          188.43.65.223

Добавлено через 1 минуту
тут же

Code
1
2
3
4
5
6
7
8
9
10
11
C:\Users\Roman>nslookup gmail.com 8.8.8.8
╤хЁтхЁ:  google-public-dns-a.google.com
Address:  8.8.8.8
 
Не заслуживающий доверия ответ:
╚ь*:     gmail.com
Addresses:  2a00:1450:4010:c0d::12
          173.194.222.18
          173.194.222.83
          173.194.222.17
          173.194.222.19

Driwars · 15.08.2016, 12:08

udp 53 и tcp 53 порты открыты?

@Laroux · 15.08.2016, 12:11 **[ТС]**

Driwars, конечно. Иначе бы он совсем не работал.
После рестарта службы или сервера все восстанавливается и работает неопределенное время

Driwars · 15.08.2016, 17:21

Надо логи смотреть.
В файл named.conf добавить

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
logging {
          channel "misc" {
                    file "/var/log/bind/misc.log" versions 4 size 4m;
                    print-time YES;
                    print-severity YES;
                    print-category YES;
          };
 
          channel "query" {
                    file "/var/log/bind/query.log" versions 4 size 4m;
                    print-time YES;
                    print-severity NO;
                    print-category NO;
          };
 
          category default {
                    "misc";
          };
 
          category queries {
                    "query";
          };
};

@Laroux · 15.08.2016, 18:14 **[ТС]**

Driwars, это для того, чтобы логи просто смотреть?

@kalsarikannit · 15.08.2016, 19:39

На проблемной машине посмотрите

Code
1
2
nslookup ping.com
nslookup ping.com 8.8.8.8

Возможно, я ошибся в синтаксисе win-nslookup.
Проверьте. Возможный вариант: "nslookup 8.8.8.8 ping.com "
Исхожу из того, что win-вариант должен быть особенным.

@Laroux · 15.08.2016, 20:38 **[ТС]**

kalsarikannit, я смотрел: через гуглднс все ок. А вот через мой - банан.
И, кстати, машина не проблемная.. отваливается ДНС во всех машинках сети одновременно. Т.е. проблема точно в ДНС-сервере

@kalsarikannit · 15.08.2016, 20:53

Сожалею, не смогу вам помочь.
У меня умолчальный dnsmasq-base.

@gng · 16.08.2016, 10:00

Laroux, Настройки будут, или вы хотите для нас битву телепатов устроить?

@Laroux · 16.08.2016, 10:59 **[ТС]**

File: /etc/bind/named.conf

Bash
1
2
3
include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";

File: /etc/bind/named.conf.options

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
acl AllowQuery {127.0.0.1; 10.23.0.0/24; 10.23.1.0/24; };
 
options {
        directory "/var/cache/bind";
        statistics-file "/var/run/named.stats";
 
        forwarders {
                8.8.8.8;
                8.8.4.4;
        };
 
        dnssec-validation auto;
 
        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { none; };
        allow-query { AllowQuery; };
};
 
logging {
        channel main {
                file "/var/log/bind/main.log" versions 4 size 5m;
                severity warning;
                print-time yes;
                print-category yes;
                print-severity yes;
        };
        category lame-servers { null; };
        category queries { main; };
        category xfer-in { main; };
        category xfer-out { main; };
        category security { main; };
        category resolver { main; };
        category client { main; };
        category unmatched { main; };
        category default { main; };
        category database { main; };
};

File: /etc/bind/named.conf.local

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
zone "php.MySite.ru" {
        type master;
        file "/etc/bind/db.php.MySite.ru";
};
 
zone "cs.MySite.ru" {
        type master;
        file "/etc/bind/db.cs.MySite.ru";
};
 
zone "ra.MySite.ru" {
        type master;
        file "/etc/bind/db.ra.MySite.ru";
};
 
zone "srs.MySite.ru" {
        type master;
        file "/etc/bind/db.srs.MySite.ru";
};
 
zone "crm.MySite.ru" {
        type master;
        file "/etc/bind/db.crm.MySite.ru";
};
 
zone "inv.MySite.ru" {
        type master;
        file "/etc/bind/db.inv.MySite.ru";
};
 
zone "vTiger.MySite.ru" {
        type master;
        file "/etc/bind/db.vTiger.MySite.ru";
};
 
zone "open.server" {
        type master;
        file "/etc/bind/db.open.server";
};

File: /etc/bind/named.conf.default-zones

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
zone "." {
        type hint;
        file "/etc/bind/db.root";
};
 
zone "localhost" {
        type master;
        file "/etc/bind/db.local";
};
 
zone "127.in-addr.arpa" {
        type master;
        file "/etc/bind/db.127";
};
 
zone "0.in-addr.arpa" {
        type master;
        file "/etc/bind/db.0";
};
 
zone "255.in-addr.arpa" {
        type master;
        file "/etc/bind/db.255";
};

Что еще показать? Все файлы выложить? Или что-то конкретное?

@gng · 16.08.2016, 12:59

Сообщение от Laroux

Что еще показать?

Вроде, все в норме.
Рекурсию явно разрешите для AllowQuery; Вроде бы, начиная с 9.4.1 она по умолчанию разрешена только для localhost и localnet.
Еще попробуйте форварды убрать, чтобы Гугл из возможных причин исключить. Пусть по дереву спрашивает.
Когда проявляется проблема, пробуйте с самого сервера разные запросы делать, чтобы больше инфы было. Ну и логи, как уже писали, смотреть. Бинд должен написать в логи причину отказа.

@Laroux · 16.08.2016, 13:22 **[ТС]**

Сообщение от gng

Рекурсию явно разрешите для AllowQuery

не могли бы Вы поподробнее написать, что нужно сделать? Я не понял

Форварды на гугл сейчас закомментирую.

Моих настроек логов недостаточно?
Кстати, при вот таких настройках, как у меня сейчас в лог пишется только одна единственная фраза

Code
1
29 general: warning: managed-keys-zone: No DNSKEY RRSIGs found for '.': success

Добавлено через 16 минут
P.S. Файл с логами удалил заодно.. посмотрим, что теперь скажет серверок

@gng · 16.08.2016, 13:50

Сообщение от Laroux

не могли бы Вы поподробнее написать, что нужно сделать? Я не понял

allow-recursion {"AllowQuery";};
рядом в allow-query ...

Сообщение от Laroux

Моих настроек логов недостаточно?

Если до бинда запросы доходят, то и при ваших настройках он запишет в логи причину отказа.

Сообщение от Laroux

сейчас в лог пишется только одна единственная фраза

Это при старте бинда, как я понимаю, а не при запросе к нему.

@Laroux · 17.08.2016, 11:23 **[ТС]**

После allow-query... в файле /etc/bind/named.conf.options прописал

Bash
1
allow-recursion { AllowQuery; };

кавычки вроде как лишние у Вас были?

Добавлено через 1 минуту
Смотрим, что получилось и как работает..

Добавлено через 1 минуту
Сразу могу сказать, что сообщение в логе

Code
1
29 general: warning: managed-keys-zone: No DNSKEY RRSIGs found for '.': success

, если оно появлялось в момент перезагрузки, пропало.. уже что-то

Добавлено через 20 часов 41 минуту
Почти сутки прошли.. полет нормальный. Неужто мои мучения закончились

Добавлено через 7 минут
не.. ненормальный. Только написал и у меня прибежал народ - не работают домены из зоны .com. Из зоны .ru - нормально все отдается.
При этом на сервере адреса резольвятся.

В логах бинда чисто вообще.

Что такое, блин

Добавлено через 25 секунд
рестарт бинда и все заработало

Добавлено через 20 минут

@gng · 17.08.2016, 15:41

Сообщение от Laroux

При этом на сервере адреса резольвятся.

При этом в /etc/resolv.conf на сервере он сам прописан: напр. 127.0.0.1?
В момент отказов с сервера работают

Bash
1
2
host имя.ru. 127.0.0.1
host имя.com. 127.0.0.1

?

@Laroux · 17.08.2016, 15:53 **[ТС]**

resolv.conf

Bash
1
2
search MySite.net
nameserver 8.8.8.8

Добавлено через 1 минуту
остальное проверю, когда снова будет сбой

@Laroux · 19.08.2016, 18:02 **[ТС]**

пока что всё тьфу-тьфу-тьфу.. работает

Но есть такой нюанс: сделал сейчас на своем ВНЕШНЕМ хостинге поддомен. Через 8.8.8.8 он находится, а вот через мой DNS-сервер - нифига.

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
nslookup zgr.MyOutsideSite.ru 8.8.8.8
╤хЁтхЁ:  google-public-dns-a.google.com
Address:  8.8.8.8
 
Не заслуживающий доверия ответ:
╚ь*:     zgr.MyOutsideSite.ru
Address:  77.XXX.XX.12
 
 
nslookup zgr.MyOutsideSite.ru
╤хЁтхЁ:  UnKnown
Address:  10.23.0.2
 
*** UnKnown не удалось найти zgr.MyOutsideSite.ru: Non-existent domain

Добавлено через 17 минут
появился.. получается, что гугловские DNS-ы быстрее работают, чем те, к которым обращается мой DNS-сервер?

@gng · 19.08.2016, 22:26

Сообщение от Laroux

получается, что гугловские DNS-ы быстрее работают, чем те, к которым обращается мой DNS-сервер?

Это зависит от настройки мастера и слейвов вашего поддомена. Если кто-то из них - Гугл, то он обновит информацию быстрее. Установлена только нижняя планка - 1 сутки.

@Laroux · 23.08.2016, 15:56 **[ТС]**

Только что отловил краткосрочный "баг":

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
nslookup cyberforum.ru 8.8.8.8
╤хЁтхЁ:  google-public-dns-a.google.com
Address:  8.8.8.8
 
Не заслуживающий доверия ответ:
╚ь*:     cyberforum.ru
Address:  93.171.223.103
 
 
nslookup cyberforum.ru
╤хЁтхЁ:  UnKnown
Address:  10.23.0.2
 
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Превышено время ожидания запроса UnKnown

причем через 3 попытки

Bash
1
2
3
4
5
6
7
nslookup cyberforum.ru
╤хЁтхЁ:  UnKnown
Address:  10.23.0.2
 
Не заслуживающий доверия ответ:
╚ь*:     CYBERFORUM.ru
Address:  93.171.223.103

@Laroux · 25.08.2016, 09:36 **[ТС]**

да блин.. опять 25

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
nslookup opencartforum.com
╤хЁтхЁ:  UnKnown
Address:  10.23.0.2
 
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** UnKnown не удалось найти opencartforum.com: Server failed
 
nslookup opencartforum.com 8.8.8.8
╤хЁтхЁ:  google-public-dns-a.google.com
Address:  8.8.8.8
 
Не заслуживающий доверия ответ:
╚ь*:     opencartforum.com
Address:  144.76.90.182

в чем может быть баг?

Добавлено через 13 часов 49 минут
В логах вижу что-то типа

Bash
1
2
3
4
5
6
7
8
9
10
11
12
25-Aug-2016 09:19:34.528 queries: info: client 10.23.1.14#50421 (api.icq.net): query: api.icq.net IN A + (10.23.0.2)
25-Aug-2016 09:19:34.552 dnssec: info: validating @0xb3f3e240: api.icq.net A: bad cache hit (icq.net/DS)
25-Aug-2016 09:19:34.557 queries: info: client 10.23.1.14#57077 (api.icq.net): query: api.icq.net IN A + (10.23.0.2)
25-Aug-2016 09:19:34.557 dnssec: info:   validating @0xb3f3e240: com SOA: got insecure response; parent indicates it should be secure
25-Aug-2016 09:19:34.584 dnssec: info: validating @0xb3f3e240: api.icq.net A: bad cache hit (icq.net/DS)
25-Aug-2016 09:19:34.619 queries: info: client 10.23.1.14#63398 (api.icq.net): query: api.icq.net IN A + (10.23.0.2)
25-Aug-2016 09:19:34.630 queries: info: client 10.23.1.13#63434 (ctldl.windowsupdate.com): query: ctldl.windowsupdate.com IN A + (10.
25-Aug-2016 09:19:34.642 dnssec: info: validating @0xb4bcd3f8: api.icq.net A: bad cache hit (icq.net/DS)
25-Aug-2016 09:19:34.647 queries: info: client 10.23.1.14#50866 (api.icq.net): query: api.icq.net IN A + (10.23.0.2)
25-Aug-2016 09:19:34.674 dnssec: info: validating @0xb3f3e240: api.icq.net A: bad cache hit (icq.net/DS)
25-Aug-2016 09:19:34.704 dnssec: info: validating @0xb4bcd3f8: ctldl.windowsupdate.com A: bad cache hit (windowsupdate.com/DS)
25-Aug-2016 09:19:34.705 dnssec: info:   validating @0xb4bcd3f8: com SOA: got insecure response; parent indicates it should be secure

погуглил. Говорят, установите в конфиге

Bash
1
2
dnssec-enable no;
dnssec-validation no;

отключил. Будем посмотреть

А вот толком понять за что отвечают эти опции бинда не могу. Подскажете?

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .
SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .

Driwars 71 / 62 / 33 Регистрация: 03.09.2013 Сообщений: 306
	15.08.2016, 12:08
	udp 53 и tcp 53 порты открыты? 0

@Laroux 172 / 167 / 75 Регистрация: 21.11.2014 Сообщений: 1,490
	15.08.2016, 12:11 [ТС]
	Driwars, конечно. Иначе бы он совсем не работал. После рестарта службы или сервера все восстанавливается и работает неопределенное время 0

@Laroux 172 / 167 / 75 Регистрация: 21.11.2014 Сообщений: 1,490
	15.08.2016, 18:14 [ТС]
	Driwars, это для того, чтобы логи просто смотреть? 0

@Laroux 172 / 167 / 75 Регистрация: 21.11.2014 Сообщений: 1,490
	15.08.2016, 20:38 [ТС]
	kalsarikannit, я смотрел: через гуглднс все ок. А вот через мой - банан. И, кстати, машина не проблемная.. отваливается ДНС во всех машинках сети одновременно. Т.е. проблема точно в ДНС-сервере 0

@kalsarikannit 74 / 74 / 17 Регистрация: 06.05.2016 Сообщений: 413
	15.08.2016, 20:53
	Сожалею, не смогу вам помочь. У меня умолчальный dnsmasq-base. 0

@gng 923 / 639 / 198 Регистрация: 08.09.2013 Сообщений: 1,693
	16.08.2016, 10:00
	Laroux, Настройки будут, или вы хотите для нас битву телепатов устроить? 0