当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 6 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : 关于bind9双重服务器的问题--部份外网网址(国际域名)无法访问
帖子发表于 : 2010-05-06 18:05 

注册: 2010-04-30 21:36
帖子: 25
送出感谢: 0 次
接收感谢: 0 次
各位好,我在我的公司有这样的需求
公司内部需要配置DNS服务器,公司内部计划架设以下网站www.dmt.com和bbs.dmt.com
现在我使用ubuntu 9.10做为服务器操作系统,然后在上面安装了bind9
我需望局域网里面的人如果访问www.dmt.com和bbs.dmt.com,则不管外网有没有这样的域名都解析成局域网地址
如果用户访问其它域名都解析成外网地址,但是当我配置完成之后,客户端的机器可以正常访问内部的www.dimetek.com和bbs.dmt.com
但是外网有部份网址访问不了,从理论上分析,部份网址访问不了应该是named.root没有更新,但是我更新之后依然没有解决问题
而且我发现不能访问的那些网址是国际域名,比如xxx.xxx.net,暂时未发现国内域名无法访问的情况.
请问我应该怎么去分析并解决这样的问题呢?


页首
 用户资料  
 
2 楼 
 文章标题 : Re: 关于bind9双重服务器的问题--部份外网网址(国际域名)无法访问
帖子发表于 : 2010-05-06 19:21 

注册: 2008-05-14 18:53
帖子: 547
地址: 上海
送出感谢: 0 次
接收感谢: 0 次
5月5号开始全球13台根DNS服务器在作更新,对DNS管理员来说是个打击,查看相关的资料吧,有你的忙了,兄弟.


_________________
三年Linux使用经验,两年Ubuntu使用经验
提供各种企业解决方案
Ubuntu QQ群:66320976
Linux Blog
http://deephell.72pines.com


页首
 用户资料  
 
3 楼 
 文章标题 : Re: 关于bind9双重服务器的问题--部份外网网址(国际域名)无法访问
帖子发表于 : 2010-05-10 14:16 

注册: 2010-04-30 21:36
帖子: 25
送出感谢: 0 次
接收感谢: 0 次
kamui0523 写道:
5月5号开始全球13台根DNS服务器在作更新,对DNS管理员来说是个打击,查看相关的资料吧,有你的忙了,兄弟.


我应该从哪里得到关于这条新闻的详细信息呢?
好像我用dig命令更新了之后就没问题啊.

能否给出更详细的资信或者一些信息来源连接.

不胜感激.


页首
 用户资料  
 
4 楼 
 文章标题 : Re: 关于bind9双重服务器的问题--部份外网网址(国际域名)无法访问
帖子发表于 : 2010-05-10 14:24 

注册: 2008-05-14 18:53
帖子: 547
地址: 上海
送出感谢: 0 次
接收感谢: 0 次
http://www.google.com.hk/search?client= ... 8&oe=utf-8

5月5日,由ICANN,美国政府和Verisign领导的全球13台根域名服务器将会迎来DNSSEC(Domain Name System Security Extensions,域名系统安全扩展)升级,DNSSEC升级将会在反馈给互联网用户的DNS请求响应中插入数字签名,确保返回的域名地址是未经篡改的。

DNSSEC是为阻止中间人攻击而设计的,利用中间人攻击,黑客可以劫持DNS请求,并返回一个假地址给请求方,这种攻击手段类似于正常的 DNS重定向,人们在不知不觉中被转到另一个URL。

据Melbourne IT首席战略官,ICANN董事Bruce Tonkin说,本次升级将会给那些毫无准备的网络管理员一个措手不及,响应标准DNS请求往往只有一个单一的数据包(UDP协议),大小一般不会超过 521字节,在某些较旧的网络设备中,比这个大的请求将会被出厂默认配置阻止掉,它会认为超过这个大小的数据包是异常的。

截至UTC 5月5日17:00点,所有发送给用户DNS解析器的DNSSEC签名的消息将会变大到2KB,是原来的4倍,但这么大的数据包可能会被许多网络设备拒绝接收,因此这个响应消息很可能会通过TCP分成多个数据包进行发送。

Tonkin有点担心,虽然DNSSEC已经提上日程有一段时间了,但许多IT和网络管理员还没有测试他们的旧路由器和防火墙,如果不能处理更大的DNS 响应数据包就麻烦了。

他说:“企业网络中的设备可能会阻止比以往更大的DNS请求响应数据包”。

DNSSEC其实早在 2009年11月就在全球13台根服务器上准备好了,到目前为止,它只会导致许多旧网络设备载入网页略有延迟。

不是所有DNS根服务器都会响应每一个请求,用户机器上的DNS解析器会逐个请求这13台根服务器,直到返回一个满意的答复。当13台具有 DNSSEC签名功能的根服务器全部上线后,所有的响应不会抵达旧设备的企业网络,Tonkin希望大型ISP能解决这个问题,让家庭用户不受影响。

他说:“我不能保证所有ISP都准备好了,ISP会为你翻译DNS,但企业网络可能影响比较大,因为企业可能运行了自己的DNS服务器”。

从这个意义上来说,5月5日可与千年虫危机匹敌。Tonkin预计会有大量的组织遇到互联网接入问题,大量的网络管理员将会抓破头皮寻找问题的根源。

这个问题可能需要数天才能完全消除,晚上未关机的用户可能会访问到一些页面,那也仅仅是缓存中的内容。Tonkin建议网络管理员尽快运行一系列简单的测试,确保他们的网络可以处理更大的DNS响应包。


_________________
三年Linux使用经验,两年Ubuntu使用经验
提供各种企业解决方案
Ubuntu QQ群:66320976
Linux Blog
http://deephell.72pines.com


页首
 用户资料  
 
5 楼 
 文章标题 : Re: 关于bind9双重服务器的问题--部份外网网址(国际域名)无法访问
帖子发表于 : 2010-05-10 16:40 

注册: 2010-04-30 21:36
帖子: 25
送出感谢: 0 次
接收感谢: 0 次
谢谢,你的回答给了我很大帮助.


页首
 用户资料  
 
6 楼 
 文章标题 : Re: 关于bind9双重服务器的问题--部份外网网址(国际域名)无法访问
帖子发表于 : 2010-06-07 17:06 

注册: 2010-04-30 21:36
帖子: 25
送出感谢: 0 次
接收感谢: 0 次
执行dig > /etc/bind/named.root 后问题解决.


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 6 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 3 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译