Re: Nur der 1. Nameserver wird zur Namensaufloesung benutzt

Alexander Skwar <alexander@xxxxxxxxxx>:
· Juergen P. Meier <nospam-2006@xxxxxxxx>:

Alexander Skwar <alexander@xxxxxxxxxx>:
Ich habe bei einem System "auf der Arbeit" das Problem, das ich *ZWEI*
Nameserver verwenden müsste, um alle möglichen Namen auflösen zu können.
Dh. Nameserver1 löst nur einen Teil aller möglichen Namen auf und
Nameserver2 einen anderen Teil - es gibt aber keine Überschneidungen,
anders gesagt - Nameserver1 kennt nicht die Hosts von Nameserver2
und umgekehrt auch nicht.

Dann solten sie sich gegenseitig als Forwarder konfiguriert haben,

Nein.

Tja. Man kann es auch mit Absicht Falsch machen.

so
dass sie sich gegenseitig befragen. Oder wenigstens dem Client
mitteilen, dass der andere fuer die ihm nicht bekannten Domains
zustaendig ist. Sonst liefern sie NXDOMAIN zurueck, das fuer jeden
Resolver eine terminierende Fehlermeldung ist.

Genau. Die beiden NS wissen nichts von einander und das
lässt sich auch nicht ändern. An den NS ist nichts zu
ändern. Die beiden NS sind für unabhängige Systeme, die
nichts voneinander wissen und nichts voneinander wissen
sollen.

Alternativ sollten sie auf Requests fuer Domains, die sie nicht
kennen, garnicht Antworten.

Ja.

Was dann aber ein anderer Defekt der Nameserver waere.

eingetragen, so bekomme ich immer nur eine Antwort von Nameserver1
zurückgeliefert. Diese Antwort kann natürlich sein, das "host1"

Ein ueblicher Resolvermechanismus.
Erst wenn der erste mal garnicht Antwortet, verwendet er den 2. usw.

Und genau das ist eben kaputt... :(

Nein, das ist ganz korrekt und richtig so. Anders wuerde das Internet
garnicht (so) funktionieren.

aufgelöst werden kann oder aber, das "host2" unbekannt ist. Ändere
ich die Reihenfolge der Nameserverzeilen, so bekomme ich "host2"
aufgelöst, "host1" aber nicht mehr.

Das ist ein Defekt deiner Nameserver:

Nein. Die NS funktionieren wunderprächtig.

Es ist ein gravierender Fehler in euerem DNS-Setup.

Diesen Fehler nun auf clientseite durch irgendwelche Kaputten HAcks
ausbuegeln zu wollen, ist wohl eher als "the Microsoft Way" bekannt.

nameserver 1 kennt host2 nicht,
masst sich jedoch an behaupten zu koennen, dass er Allwissend sei, und
damit host2 garnicht existiert. Was genau soll dein Client da machen?

Der Client sollte ns2 befragen, da der Admin den Client so
konfiguriert hat, das, bei NXDOMAIN, auch noch der 2. NS
befragt wird - quasi wie, wenn in der nsswitch.conf
hosts nis [NOTFOUND=continue] dns
eingetragen wird.

Soso. Und woher nimmt der Admin die Kompetenz und Authoritaet einfach
so das ganze Konzept eines hierarchischen DNS-Systems derart kaputt zu
machen?

Der Admin hat ganz offensichtlich DNS nicht verstanden.

Das, was dein Admin will, ist nicht mittels DNS zu loesen, er sollte
besser einen fuer diese Anforderung geeigneten Namensdienst
verwenden. NIS+ kann z.B. genau das, und auch ADS mit WINS in der
Mickeysoftwelt sollte dafuer eher passen.

Aber DNS basiert nunmal auf einem Grundkonzept, dass mit genau
dieser Konstellation voellig Inkompatibel ist.

Auch nicht durch Anwendung exzessiver Gewalt an den Idioten, die diese
kaputten Teile aufgesetzt haben?

Nein. Im übrigen waren da weder Idioten am Werk, noch ist da irgendwas
kaputt.

Die Entscheidung, DNS fuer so eine Anforderung zu verwenden, ist
ganz offensichtlich ein Zeichen von Idiotie. Und kaputt ist es per
Definition, wenn dein Admin DNS so vergewaltigt haben moechte.

DNS ist ein hierarchisches Konzept mit *GENAU* *EINER* Wurzel und
*GENAU* *EINEM* Baum. Wenn dein Admin darueber mal 5 Minuten lang
nachdenken wuerde, muesste ihm bei genuegend Intelligenz eigenlich
ein Licht aufgehen, worin sein (Denk-)Fehler liegt.
(Wenn du die Betonung aehnlich setzt wie ich in diesem Absatz, sollte
das auch schneller gehen.)

Das waere dann ein "ugly hack", und du muesstest deinen Resolver
selber hacken. Mir ist kein Resolver bekannt, der solchen Unsinn
out-of-the-box unterstuetzen wuerde.

Schade das es keine so brauchbaren Resolver zu geben scheint -

Alle DNS-Resolver, die diesen Schwachsinn nicht machen, sind
vollkommen brauchbar und korrekt. Eine negative Antwort ist eine
Antwort. Von einem andern NS *darf* ein Client gar keine
anderslautende Antwort erwarten. Wenn ein NS sagt "NXDOMAIN", dann
werden (nach DNS Konzept) auch *alle* *anderen* Nameserver genau die
gleiche Antwort liefern. Das ist DNS. Wenn das nicht so waere,
koenntest du alle DNS-Forwarder auf den Muell werfen und die Clients
duerften nur noch die authorativen NSe der jeweiligen Zonene *direkt*
befragen. Weil niemand mehr einer nicht-authorativen Antwort trauen
koennte. Der DNS-Traffic im Internet wuerde exponentiell anwachsen,
alle primaeren NSe wuerden unter der Last zusammenbrechen und der
vierte Weltkrieg wuerde ausbrechen... oder so.

warum sind die alle so kaputt, das sie sich nicht brauchbar
konfigurieren lassen?

Deine Anforderung ist kaputt. Du willst kein DNS, du willst was
anderes. Wie du damit auf das mikrometer duenne Brett kommst, die
DNS-Resolver waeren kaputt, kann ich nicht nachvollziehen.

Alternativ kannst du auch einfach die Fehler in den beiden Nameservern

Die NS sind fehlerfrei.

Fuer sich alleine betrachtet vielleicht, aber das sind dann NS in zwei
unabhaengigen DNS-Baeumen. Dein Client muss sich dann aber aussuchen,
in welchem Baum er haengt. Entweder-oder. (Die Resolverimplementierung
erzwingt diese Entscheidung durch das Grundkonzept von DNS ja schon
auf technischer Ebene). Was euch fehlt ist die Erkenntnis der Admins,
dass man hier zwei DNS-HIerarchien nicht vermischen *kann* (das
erlaubt DNS nicht).

Sowas geht jedoch ganz sicher mit NIS+ (BTDT) oder soweit ich sehen
kann wohl auch mit Microsoft ADS+WINS.

durch Aufsetzen eines eigenen NAmeservers kompensieren, wo du fuer
jede Domain (bzw. host), die Nameserver 1 kennt explizit diesen als
Forwarder (sog. Forward-zonen) eintraegst, und den rest an Nameserver2
delegierst, und in deine resolv.conf dann halt localhost reinschreibst.

Jup, sowas werde ich wohl machen.

Again: Das ist ein Hack, der *dein* Problem mit dem Problem deiner
verantwortlichen DNS-Admins loest. Nur damit keine falschen
Schluesse gezogen werden ;)

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
.

Relevant Pages

  • Re: Multiple DCs more of a hinderance than help
    ... since the Exchange Server shows DC1 as the %LOGONSERVER% when I ... It would be helpful to see an ipconfig /all from a client machine, ... the client side resolver works. ... If first DNS is down, will it use the second DNS to find another DC to ...
    (microsoft.public.windows.server.active_directory)
  • Re: Secondary (backup) domain controller not working ?
    ... client side, as well as if the previous logon server and record was cached. ... is waiting for a response from the server. ... If the query sent to the first entry in the DNS ... As I mentioned, this is ALL based on the client side resolver, not the DNS ...
    (microsoft.public.windows.server.active_directory)
  • Re: replication
    ... The DNS Client is designed to use the Alternate DNS Service if the ... Alternate server set to forward to the preferred DNS Server (not ... I am posting a little article I have on it, however you've already covered most of the points on it concerning the clietn side resolver and the time out period before it goes to the next in the list. ...
    (microsoft.public.windows.server.dns)
  • Re: Weird DNS issue
    ... The reason is based on the DNS client side resolver. ... the DNS server, has a client side resolver service that is controlled by the ...
    (microsoft.public.windows.server.dns)
  • Re: Nur der 1. Nameserver wird zur Namensaufloesung benutzt
    ... anders gesagt - Nameserver1 kennt nicht die Hosts von Nameserver2 ... Dann solten sie sich gegenseitig als Forwarder konfiguriert haben, ... Was genau soll dein Client da machen? ... Das waere dann ein "ugly hack", und du muesstest deinen Resolver ...
    (de.comp.os.unix.networking.misc)
Loading