Декабрь 16, 2005
Как правильно настроить DNS (Часть2)
3. Более сложная ситуация: корпоративная сеть со шлюзом для выхода в интернет.
В сети две основные части: небольшая "демилитаризованная зона" с реальными IP-адресами и "внутренняя" с IP-адресами из диапазона private address space согласно RFC 1597. На стыке этих двух частей машина proxy и e-mail сервер. Она же - DNS-сервер для "демилитаризованной зоны" и кэширующий DNS-сервер для интернет. Используя собственный DNS, эта машина успешно разрешает в символические имена IP-адреса интернет-диапазона. А вот про адреса "внутренней" части сети система DNS "не знает". Тут картина будет более сложной, поскольку DNS сервер умеет кэшировать ответы на запросы. Как положительные, так и отрицательные. А через некоторое время кэш очищается. Что же происходит? Как я понимаю, примерно следующее: При первом запросе на преобразование в символическое имя IP-адреса из "внутренней" части сети сервер пробует сам это сделать, не может, шлет запросы к корневым серверам через internet, они тоже не могут... все это занимает значительное время и пользователь на машине-клиенте имеет изрядную задержку. Но отрицательный ответ кэшируется, и пока кэш не очищен, задержка при повторном обращении становится маленькой. Но если работает одновременно несколько клиентов, то может оказаться, что в момент повторного запроса DNS сервер будет обрабатывать другой "неразрешимый" запрос... Вобщем, получается крайне неприятная ситуация с "плавающей" ошибкой. Соединение устанавливается то быстро, то медленно и никакой разумной закономерности установить не удается.
Реальная история, кстати... Сколько я времени потратил, пока понял, в чем дело... врагу такого не пожелаю. Вылечил, кстати, очень просто. Для всех машин "внутренней" части сети были созданы фиктивные записи в файле /etc/hosts сервера. Примерно так:
172.16.1.1 pc01.l1
172.16.1.2 pc02.l1
172.16.1.3 pc03.l1
Можно было бы, конечно, прописать и реальные имена. Для удобства чтения логов.
Примечание: решение без использования /etc/hosts см. дальше (использование forward-зон)
4. Особенности конкретных дистрибутивов. В Black Cat Linux 6.2 (наверно и в Red Hat 6.2, соответственно) утилита ping по умолчанию пытается произвести трансляцию IP-адреса в символическое имя. Отменяется трансляция ключом -n (справедливости ради скажу, что с ftp можно скачать обновленную версию пакета, в которой эта особенность ликвидирована) Подвисание такого ping может означать не отсутствие связи с проверяемой машиной, а проблему с трансляцией ее IP-адреса в символическое имя. Попытка диагностирования проблем в сети с помощью такого ping'а легко может поставить администратора в тупик. (Ну что можно сказать по поводу подобной "доработки" ping? Воистину "благими намерениями вымощена дорога в ад")
Приведенные примеры показывают: к DNS нельзя относиться пренебрежительно.
Если на сервере включено использование DNS, то следует внимательно следить, чтобы ip-адреса всех машин-клиентов тем или иным способом разрешались в имена.
Несоблюдение этого принципа может привести к серьезным проблемам.
продолжение следует...
Часть 1 |
Окончание |
Разместил:
Источник: Docs.Winsov.Ru