Aussetzer bei der Beantwortung von DNS-Anfragen

UCS - Univention Corporate Server
#1

Hallo,

wir setzen einen UCS als Domain Controller mit Samba 4 in der aktuellen Version 3.1.1 und aktuellem Errata 193 (Stand: 18.11.2013) ein und haben ein Problem mit der Namensauflösung. Unser UCS-Server ist als alleiniger DNS-Server bei den Clients per DHCP gesetzt. Es sind drei funktionierende Forwarder eingerichtet.

Nun ist der Zugriff aufs Internet zeitweise extrem langsam, zeitweise gar nicht (mit Timeout) möglich und zu anderer Zeit manchmal total normal möglich. Ein Neustart des UCS-Servers, aber auch des Routers (Draytek) verhilft kurzzeitig Verbesserung!

Das ganze verhält sich seit etwa einer Woche so. Vor etwa zwei Wochen haben wir die letzten drei Erratas gezogen. An den Clients wird zeitweise manuell ein eigener Forwarder in den TCP/IP-Settings gesetzt, um das Problem zu umgehen / Internet Zugang (Browser) zu haben.

Hier ein paar aus meiner Sicht interessante Code-Schnipsel, die sich die ganze Zeit über wiederholt abwechseln. Einmal Error/Success und einmal die Samba_dlz Versuche.

[code]
root@ucs:~# cat /var/log/syslog | grep named | less

Nov 18 08:36:45 ucs named[1970]: error (network unreachable) resolving ‘pdns4.ultradns.org/AAAA/IN’: 2610:a1:1015::1#53
Nov 18 08:36:45 ucs named[1970]: error (network unreachable) resolving ‘pdns4.ultradns.org/AAAA/IN’: 2001:502:4612::1#53
Nov 18 08:36:45 ucs named[1970]: error (network unreachable) resolving ‘pdns4.ultradns.org/AAAA/IN’: 2001:502:f3ff::1#53
Nov 18 08:36:45 ucs named[1970]: success resolving ‘pdns4.ultradns.org/AAAA’ (in ‘ultradns.org’?) after reducing the advertised EDNS UDP packet size to 512 octets
Nov 18 08:36:45 ucs named[1970]: error (network unreachable) resolving ‘pdns5.ultradns.info/A/IN’: 2610:a1:1015::1#53[/code]

Nov 18 08:45:06 ucs named[1970]: error (unexpected RCODE REFUSED) resolving 'ns.udagdns.net/A/IN': 213.191.74.19#53 Nov 18 08:45:06 ucs named[1970]: error (unexpected RCODE REFUSED) resolving 'ns.udagdns.net/AAAA/IN': 213.191.74.19#53 Nov 18 08:45:21 ucs named[1970]: success resolving 'updates.software-univention.de/A' (in 'software-univention.de'?) after reducing the advertised EDNS UDP packet size to 512 octets Nov 18 08:45:36 ucs named[1970]: success resolving 'ns.udagdns.net/AAAA' (in 'udagdns.net'?) after reducing the advertised EDNS UDP packet size to 512 octets Nov 18 09:05:37 ucs named[1970]: samba_dlz: starting transaction on zone artstage.dyndns.org Nov 18 09:05:37 ucs named[1970]: client 192.168.0.131#49604: update 'artstage.dyndns.org/IN' denied Nov 18 09:05:37 ucs named[1970]: samba_dlz: cancelling transaction on zone artstage.dyndns.org Nov 18 09:05:37 ucs named[1970]: samba_dlz: starting transaction on zone artstage.dyndns.org Nov 18 09:05:37 ucs named[1970]: samba_dlz: disallowing update of signer=vm1\$\@ARTSTAGE.DYNDNS.ORG name=VM1.artstage.dyndns.org type=A error=insufficient access rights Nov 18 09:05:37 ucs named[1970]: client 192.168.0.131#55347: updating zone 'artstage.dyndns.org/NONE': update failed: rejected by secure update (REFUSED) Nov 18 09:05:37 ucs named[1970]: samba_dlz: cancelling transaction on zone artstage.dyndns.org Nov 18 09:10:37 ucs named[1970]: samba_dlz: starting transaction on zone artstage.dyndns.org Nov 18 09:10:37 ucs named[1970]: client 192.168.0.131#64959: update 'artstage.dyndns.org/IN' denied Nov 18 09:10:37 ucs named[1970]: samba_dlz: cancelling transaction on zone artstage.dyndns.org Nov 18 09:10:37 ucs named[1970]: samba_dlz: starting transaction on zone artstage.dyndns.org Nov 18 09:10:37 ucs named[1970]: samba_dlz: disallowing update of signer=vm1\$\@ARTSTAGE.DYNDNS.ORG name=VM1.artstage.dyndns.org type=A error=insufficient access rights Nov 18 09:10:37 ucs named[1970]: client 192.168.0.131#52958: updating zone 'artstage.dyndns.org/NONE': update failed: rejected by secure update (REFUSED) Nov 18 09:10:37 ucs named[1970]: samba_dlz: cancelling transaction on zone artstage.dyndns.org Nov 18 09:16:51 ucs named[1970]: samba_dlz: starting transaction on zone artstage.dyndns.org Nov 18 09:16:51 ucs named[1970]: client 192.168.0.118#63552: update 'artstage.dyndns.org/IN' denied Nov 18 09:16:51 ucs named[1970]: samba_dlz: cancelling transaction on zone artstage.dyndns.org Nov 18 09:20:37 ucs named[1970]: samba_dlz: starting transaction on zone artstage.dyndns.org Nov 18 09:20:37 ucs named[1970]: client 192.168.0.131#54136: update 'artstage.dyndns.org/IN' denied Nov 18 09:20:37 ucs named[1970]: samba_dlz: cancelling transaction on zone artstage.dyndns.org Nov 18 09:20:37 ucs named[1970]: samba_dlz: starting transaction on zone artstage.dyndns.org

Nov 18 10:32:50 ucs named[1970]: error (network unreachable) resolving 'dnl-01.geo.kaspersky.com/A/IN': 2001:503:a83e::2:30#53 Nov 18 10:32:50 ucs named[1970]: error (unexpected RCODE REFUSED) resolving 'ns.macomnet.ru/A/IN': 213.191.74.19#53 Nov 18 10:32:50 ucs named[1970]: error (unexpected RCODE REFUSED) resolving 'ns2.macomnet.ru/A/IN': 213.191.74.19#53 Nov 18 10:32:50 ucs named[1970]: error (unexpected RCODE REFUSED) resolving 'ns3.kasperskylabs.net/A/IN': 213.191.74.19#53

Mich würde interessieren, ob es andere gibt, die ähnliches Verhalten beobachten konnten und natürlich ob jemand eine Idee hat, herauszufinden, woran das ganze liegen könnte. Gerne stelle ich weitere Informationen bereit.

Julian Hamborg

#2

Hallo,

Fehler gefunden!
Es lag wahrscheinlich daran, dass wir zwei Internet Verbindungen von unterschiedlichen Anbietern haben. Per Load-Balance-Regel im Router wird mal die eine mal die andere benutzt. Vermutlich blockten die eingetragenen DNS-Server die Anfrage, wenn die Anfrage über die nicht zum Anbieter zugehörige Internetverbindung raus ging. Nun habe ich als Forwarder unseren Router eingetragen, der je nach Internet-Leitung die er wählt auch die DNS-Anfrage an den jeweiligen DNS-Server des Anbieters schickt.

Der Thread kann geschlossen werden.

Mastodon