Ahoj,
v práci jsme kdysi začli řešit problém, že nám vypadává občas naše brána do internetu. Takže jsem se na ni přihlásil a sledoval komunikaci. Přišel jsem na to, že náš doménový server jednou za čas vygeneruje obrovské množství komunikace na portu 53 směrem k dns serverům Seznamu. Násldně brána ufikla komunikaci po překročeném "počtu spojení". Po nějaké době pozorování jsem přehodil klientům výchozí DNS server na náš backup domain, tedy na windows 2003. Chybu starý server nevykazuje, ale protože jsem nějaký čas komunikoval se Seznamem a chtěl jsem, aby mohli zaznamenat nějakou komunikaci, naše pobočky jsem nechal chodit stále přes původní DNS(tedy domain server 2008 ). Dole je od nich odpověd.


Co mě zajímá:
Myslel(doufal) jsem, že když udělám backup domain, tak to bude "identická kopie" nastavení. Proč tedy win2003 chybu nevykazuje a win2008 ano? Co mám nastavit, aby se DNS server začal chovat normálně, nebo spíš kde to mám nastavit? Prohledal jsem klikací nastavení DNS a tam v podstatě nic není. Jde nějak omezit počet rekurzivních dotazů? Někam mě prosím nasměrujte.


Jak to funguje(Seznam):
- každému uživateli se při návštěvě Novinky.cz, Sport.cz, Lide.cz načte v IFRAME (neviditelném rámci) testovací HTML stránka
a Javascript
- Javascript si kontroluje, jestli uživatel za posledních 24 hodin prošel testem na přítomnost/schopnost/rozbitost IPv6.
Pokud uživatel testem v posledních 24 hodinách prošel, test končí bez další činnosti.
- Pokud uživatel v posledních 24 hodinách testem neprošel, dojde k pokusu o načtení několika testovacích adres, jmenovitě:
blabol.r4.td.ipv6test.semnicneposilejte.cz
blabol.r6.td.ipv6test.semnicneposilejte.cz
blabol.rd.td.ipv6test.semnicneposilejte.cz
blabol.rd.t6.ipv6test.semnicneposilejte.cz
(místo "blabol" je tam náhodně vygenerované číslo)

Tzn. každý takový test vygeneruje cca 4 DNS dotazy na naše DNS servery.

Ve standardních případech uživatelův počítač tyto DNS dotazy pošle na DNS server svého poskytovatele a ten se je pak pokouší
přeložit pomocí našich DNSek.

Zjištění(Seznam):
Po analýze DNS provozu bylo zjištěno následující chování Vašeho rekurzivního DNS serveru:
- server se zeptá na A záznam t6dns.ipv6test.semnicneposilejte.cz
- pro tento hostname ale A záznam neexistuje, existuje pouze AAAA (je to úmysl kvůli testu, zda uživatelský DNS server podporuje IPv6)
- standardní chování rekurzivních DNS serverů je, že pokud nemají IPv6 konektivitu a dostanou od autoritativního DNS pouze AAAA záznam, tak s překladem skončí a uživatelskému PC vrátí informaci 'server nelze nalézt' (NXDOMAIN nebo SERVFAIL)
- problémový rekurzivní DNS server se ale nesmíří s tím, že A záznam pro t6dns.ipv6test.semnicneposilejte.cz neexistuje a ptá se našeho autoritativního DNS serveru pořád dokola po dobu patnácti sekund a za tuto dobu nám pošle přes 1000 DNS dotazů(!)