DNS Probleme bei der DTAG fuer CompanyConnect?

Discussion:

(zu alt für eine Antwort)

Marco Schiller

2004-10-05 08:30:17 UTC

Hallo zusammen,

wir haben (leider) diverse CompanyConnect Anbindungen der Dtag, und ich
sah mich in den letzten Monaten immer wieder in regelmaessigen
Abstaenden gezwungen die Bind Konfigurationen bei uns zu durchforsten
und die forwarders anzupassen, da irgendwelche IP Adressen auf denen die
Dtag DNS Server fuer die CompanyConnect Kunden sein sollten, einfach
nicht mehr antworten.

Ich lese auch immer wieder Probleme der normalen TDSL Privat-Kunden,
dass es auch dort scheinbar des oefteren DNS Probleme bei der Dtag gibt.

Ich gebs auch langsam auf staendig irgendwelche Stoerstellen und
Hotlines anzurufen, denn genau diese geben mir IP Adressen die ich als
DNS Forwarder scheinbar einstellen soll, aber es ist ja zwecklos, wenn
die Dtag das scheinbar nicht stabil hinbekommt.

Wie lauten eigentlich die offiziellen Dtag DNS Server fuer ihre
Geschaeftskunden, oder ueberhaupt, wo kann ich mal definitiv nachfragen,
und ordentliche Antworten bekommen. Unser direkter Ansprechpartner bei
der lokalen Geschaeftskundenniederlassung sieht leider auch nicht durch,
es gibt immer tausend Stellen und Abteilungen, und es scheint, als ob
die Dtag Leute selber, auch nur staendig ihre Arbeit von einem
Mitarbeiter zum naechsten verschieben, wenn die selber in ihrem Wust von
Zustaendigkeiten und Abteilungen nicht mehr durchsehen.

Das alls ist leider sehr frustrierend, ich persoenlich war ja schon
laenger dafuer mal von der Dtag zu wechseln, aber die Entscheider haben
sich mal wieder eine neue 3 Jahres Verlaengerung aufschwatzen lassen,
aber lassen wir das, das waere wohl off-topic.

Meine forwarders sehen derzeit so aus:

forwarders { 194.25.0.69; 194.25.0.68; 194.25.0.52; 195.244.245.7; 195.2
44.245.27; 195.244.245.28; 195.244.245.29; 195.244.245.30;
217.5.100.185; 194.25.2.132; 194.25.2.129; 194.25.2.132; 194.25.0.60; };

Bind scheint wohl immer erstmal den ersten aus der Liste zu fragen, und
der antwortet zur Zeit nicht. Wie sieht es eigentlich mit der
Intelligenz von bind aus, kann ich bind irgendwie so einstellen, dass er
eine Art Massenanfrage an mehrere forwarder startet, und nicht erstmal
nur einen fragt, und dann im Zweifelsfall auf nen timeout wartet?

Irgendwelche Tips wie ich dieses Problem loesen koennte, auch wenn die
Dtag oefters mal ihre DNS Server willkuerlich abschaltet?

Danke schonmal fuer alle Hinweise.

Lutz Donnerhacke

2004-10-05 08:57:07 UTC

Permalink

Post by Marco Schiller
Das alls ist leider sehr frustrierend, ich persoenlich war ja schon
laenger dafuer mal von der Dtag zu wechseln, aber die Entscheider haben
sich mal wieder eine neue 3 Jahres Verlaengerung aufschwatzen lassen,
aber lassen wir das, das waere wohl off-topic.

YGWYPF.

Post by Marco Schiller
Bind scheint wohl immer erstmal den ersten aus der Liste zu fragen, und
der antwortet zur Zeit nicht. Wie sieht es eigentlich mit der
Intelligenz von bind aus, kann ich bind irgendwie so einstellen, dass er
eine Art Massenanfrage an mehrere forwarder startet, und nicht erstmal
nur einen fragt, und dann im Zweifelsfall auf nen timeout wartet?

Das ist eine schlechte Idee. Damit haben wir uns schon mal zwei
Außenanbindungen saturiert. (Gegenseitige Forwarder)

Daniel Weber

2004-10-05 09:42:33 UTC

Permalink

Benutze einfach garkeine Forwarder.

Post by Marco Schiller
Wie lauten eigentlich die offiziellen Dtag DNS Server fuer ihre
Geschaeftskunden

Für CompanyConnect AFAIK:

resolv-f.dtag.de
resolv-l.dtag.de
resolv-h.dtag.de

Post by Marco Schiller
wo kann ich mal definitiv nachfragen,
und ordentliche Antworten bekommen.

Hotline Datenkommunikation: 0800-3301180
Störungsstelle CompanyConnect: 01802-231323

Solange ihr das Geld habt, würde ich ehrlich gesagt auch bei der DTAG
bleiben, weil es ein handfestes Produkt ist und ich selbst gute
Erfahrungen damit gemacht habe.

Post by Marco Schiller
forwarders { 194.25.0.69; 194.25.0.68; 194.25.0.52; 195.244.245.7; 195.2
44.245.27; 195.244.245.28; 195.244.245.29; 195.244.245.30;
217.5.100.185; 194.25.2.132; 194.25.2.129; 194.25.2.132; 194.25.0.60; };

1. AFAIK mag Bind maximal 3 Einträge in der Forwarders.

2. 194.25.0.69 sehe ich von hier aus nicht als lebend (muss aber nix
heißen) 194.25.0.68 = resolv-f.dtag.de
194.25.0.52 = resolv-l.dtag.de
195.244.245.7, 195.244.245.27, 195.244.245.28, 195.244.245.29,
195.244.245.30 sind Secondaries für bei der DTAG registrierte Domains,
die lösen Dir nix (außer diesen Domains) auf
217.5.100.185 sehe ich nicht als lebend und kriege auch keinen Namen
aufgelöst
194.25.0.60 = resolv-h.dtag.de

Post by Marco Schiller
Irgendwelche Tips wie ich dieses Problem loesen koennte, auch wenn die
Dtag oefters mal ihre DNS Server willkuerlich abschaltet?

1. Die richtigen Forwarder verwenden (resolv-[f|h|l].dtag.de), und nur
die, da Bind eh nur 3 will.
2. Am besten garkeine Forwarder verwenden.

Bye,
Daniel

Florian Weimer

2004-10-05 10:15:12 UTC

Permalink

Post by Marco Schiller
wir haben (leider) diverse CompanyConnect Anbindungen der Dtag, und ich
sah mich in den letzten Monaten immer wieder in regelmaessigen
Abstaenden gezwungen die Bind Konfigurationen bei uns zu durchforsten
und die forwarders anzupassen, da irgendwelche IP Adressen auf denen die
Dtag DNS Server fuer die CompanyConnect Kunden sein sollten, einfach
nicht mehr antworten.

Die DTAG stellt seit einiger Zeit den Betrieb öffentlicher Resolver
nach und nach ein. M.W. liegt das daran, daß vor einiger Zeit ein paar
hartkodiert in bestimmter, recht verbreiteter Software auftauchten.

Der Betrieb öffentlicher Resolver ist heutzutage nicht zu empfehlen,
insbesondere wenn sie EDNS unterstützen. Durch EDNS ist eine deutliche
Verkehrsverstärkung möglich (Faktor 3 bei der Paketzahl und etwa
Faktor 50 bei den Bytes).

Wer freiwillig oder unfreiwillig auf inoffizielle Resolver angewiesen
ist, steht somit über kurz oder lang im Regen.

Stefan Funke

2004-10-05 12:05:52 UTC

Permalink

[DTAG DNS]
Wer freiwillig oder unfreiwillig auf inoffizielle Resolver
angewiesen ist, steht somit über kurz oder lang im Regen.

Inoffiziell ist es ja nicht wirklich. Alle konfigurierten und mir von
der Telekom genannten DNS' einer 2Mbit DSL Testleitung sind auch nicht
mehr unter den lebenden - und das sind so ziemlich die 194.irgendwas
die Marco Schiller da nannte. Die DTAG hats irgendwie verschlafen die
Kunden über Änderungen zu informieren.

--
Todays root password is brought to you by /dev/random

Gert Doering

2004-10-11 09:34:55 UTC

Permalink

Post by Florian Weimer
Der Betrieb öffentlicher Resolver ist heutzutage nicht zu empfehlen,
insbesondere wenn sie EDNS unterstützen. Durch EDNS ist eine deutliche
Verkehrsverstärkung möglich (Faktor 3 bei der Paketzahl und etwa
Faktor 50 bei den Bytes).

-v?

(Dass diese "oeffentlichen Resolver" nur fuer die eigenen Kunden
zugaenglich sein sollten, ist eh' klar)

gert

--
***@greenie.muc.de - no phone, no fax, no noise -
18 24 61 B 17 17 4

Jens Hoffmann

2004-10-05 11:58:46 UTC

Permalink

Hi,

Post by Marco Schiller
Irgendwelche Tips wie ich dieses Problem loesen koennte, auch wenn die
Dtag oefters mal ihre DNS Server willkuerlich abschaltet?

Wenn Du eh schon bind einsetzt: Benutze halt keine forwarder.

Marco Schiller

2004-10-05 12:51:25 UTC

Permalink

Hallo,

Hi,

Post by Jens Hoffmann
Wenn Du eh schon bind einsetzt: Benutze halt keine forwarder.

wieso eigentlich keine forwarder? Verstehe ich das System richtig, und
zwar dass IPs die als forwarder in einem Schnellen Netz des eigenen
Providers eingetragen sind doch eher am schnellsten Antworten sollten,
als wenn bind den lookup (doch durch die rootserver, oder?) selber
machen wuerde?

named.conf schreibt als Kommentar bei den forwarders, dass man dort die
DNS Server seines Providers eintragen soll.

Ist das eher nicht zu empfehlen? Die DNS rootserver werden sich wohl
recht seltenst aendern, aber ich wuerde rein vom Gefuehl her, eher
Fragen an einen DNS meines Providers stellen, als quer durch das
Internet zu bruellen, oder?

Vielleicht kann mich jemand aufklaeren.
Danke.

Torge Szczepanek

2004-10-05 13:23:00 UTC

Permalink

Post by Marco Schiller
Ist das eher nicht zu empfehlen? Die DNS rootserver werden sich wohl
recht seltenst aendern, aber ich wuerde rein vom Gefuehl her, eher
Fragen an einen DNS meines Providers stellen, als quer durch das
Internet zu bruellen, oder?

Naja, Du bruellst ja nur einmal und danach erstmal fuer eine Zeitlang
nicht mehr. Dein DNS Server cached ja dann die Anfragen. Somit erzeugst
nicht jede DNS Anfrage entsprechenden Traffic.

Ich wuerde auch das Forwarding abschalten. Alternativ kannst Du Dir zwei
eigene "non-Forwarder" an gut positionierter Stelle aufsetzen, wenn Du
die Ressourcen hast und bei den anderen Binds fragst Du dann Deine
eigenen beiden DNS-Server ab.

Wenn Du gerne noch zwei weitere DNS-Server betreiben moechtest...

Juergen P. Meier

2004-10-05 13:26:57 UTC

Permalink

Post by Marco Schiller
Hallo,

Hi,

Post by Jens Hoffmann
Wenn Du eh schon bind einsetzt: Benutze halt keine forwarder.

Nciht ganz.

Ob dein eigener BIND jetzt die Antworten selbst cached, oder dies der
DNS server auf den forwardern macht, ist letzenendes egal.

Es gibt eigentlich nur folgende Szenarien mit entsprechenden
Auswirkungen:
1) Die Namen/RRs, die du so im Allgemeinen anfragst, sind
ueblicherweise die gleichen, die alle anderen Kunden deines ISP auch
so fragen. Dann rentiert sich das verwenden der DNS des ISP als
Forwarder sowohl fuer dich selbst (schnellere Antworten aus den
Caches der ISP-DNS server) als auch fuer deinen ISP (weniger Traffic
nach aussen, wofuer dein ISP geld bezahlen muesste).

2) Die RRs, die du so im allg. anfragst, sind derart Unueblich, das
der Erwartungswert dafuer, dass sie im Cache des ISP-DNS sind, so
gering ist, das es sich schlicht nicht rentiert, die ISP-DNS server zu
verwenden, da diese deine Anfragen ja auch erst ueber die Hierarchie
holen muessen - jedes mal.
Hier lohnt es sich fuer beide, keine Forwarder zu verwenden, du hast
einen DNS weniger in der Kette (insgesamt margninal schneller), und
dein ISP hat weniger Last auf seinen DNS servern.

Ueberlege einfach, ob du in das Durchschnittsschema der Kunden deines
ISP faellst, da du ansonsten wohl wenige andere Kriterien hast (SLA,
Verfuegbarkeit des DNS-Services deines ISP, Vertraulichkeit/Datenschutz
etc.)

Post by Marco Schiller
named.conf schreibt als Kommentar bei den forwarders, dass man dort die
DNS Server seines Providers eintragen soll.

Doh, Empfehlung jeglicher Coleur ohne jegliche Erklaerung gibt es zu
Hauf.

Du laesst dann halt den DNS deines ISP quer durch das Internet
bruellen, fuer dich.

Post by Marco Schiller
Vielleicht kann mich jemand aufklaeren.

HTH,
Juergen

--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Peter Koch

2004-10-05 17:59:16 UTC

Permalink

woher kommt diese Liste? Mindestens 195.244.* und 217.5.100.185 sind wenig
erfolgversprechend. Hier handelt es sich zwar um Name*server*, aber was
du suchst, sind Resolver ("recursive servers"). Die eben genannten arbeiten
nicht-rekursiv, antworten also bestenfalls mit einer Referral auf die Root-
Server, mit REFUSED oder gar nicht. Abgesehen davon ist eine so lange Liste
von "Forwardern" kaum sinnvoll.

Post by Marco Schiller
Bind scheint wohl immer erstmal den ersten aus der Liste zu fragen, und

Welcher BIND?

Post by Marco Schiller
Irgendwelche Tips wie ich dieses Problem loesen koennte, auch wenn die
Dtag oefters mal ihre DNS Server willkuerlich abschaltet?

Man *muß* keine Forwarder nutzen ...

-Peter