PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Probleme mit Bind, SSH, Telnet lahm



MrIch
10.09.03, 12:56
Hallo Leute,

ich hab einen DNS-Server mit bind8 aber auch bind9 erstellt.
Alles funktioniert auch prima,wenn ich bei den Programmen (z.B. ssh, telnet,
dig) jeweils host und domainnamen angebe. Gebe ich nur den Hostnamen an
dauert extrem lange bis eine Verbindung aufgebaut ist.
Beispiel:
ssh host.domainname --> super
ssh host ---> da kannste aber warten ....

hat einer ne Idee?

Achja, die Systeme sind SuSE 8.2(server und clients) oder AIX 5(nur client)...

Thomas Engelke
10.09.03, 13:30
Ich erinnere mich, im "TCP/IP für Unix Systemadministration" gelesen zu haben, dass Anfragen nach oben weitergereicht werden. Ist es vielleicht möglich, dass dein Bind die Anfrage an einen INet-DNS weiterreicht?

AD!

Jasper
10.09.03, 13:54
Original geschrieben von MrIch

ssh host.domainname --> super
ssh host ---> da kannste aber warten ....

hat einer ne Idee?


kontrolliere mal deine /etc/resolv.conf

ist da "domainname" buw. "search" richtig gesetzt?

-j

MrIch
11.09.03, 13:15
Original geschrieben von Thomas Engelke
Ich erinnere mich, im "TCP/IP für Unix Systemadministration" gelesen zu haben, dass Anfragen nach oben weitergereicht werden. Ist es vielleicht möglich, dass dein Bind die Anfrage an einen INet-DNS weiterreicht?


Ich denke auch, dass das Problem ist.
Es muss also ne Möglichkeit geben, das bei Anfragen ohne DNSNAME-Anhang der
DNS-Name automatisch angehängt wird.
klappt ja auch bei ping und host.
klappt nicht bei telnet, ftp, ssh, dig.

Hab auch schon mit allen Parametern in der named.conf rumgespielt, aber : - (

Doh!
11.09.03, 15:00
Kennste Ethereal? Installier das mal und schnüffle mal eine DNS-Anfrage mit, da kannste genau sehen was passiert, wenn Du ssh root@host (ohne fqdn) machst.

Erst mal einen kleiner DNS-Exkurs: Im Normalfall verläuft eine DNS-Query so: Der client fragt bei seinem DNS nach einem bestimmten Hostnamen. Der DNS-Server weiderum fragt bei den root-Servern (zu finden in der Datei root.hint, davon gibt es insgesamt 15 Stück auf der Welt verteilt) - wenn er es nicht selbst weiß - welcher Nameserver denn für die Domain verantwortlich, die ich bei meiner Anfrage angegeben habe.

Beispiel www.spiegel.de --> Query bei den root-Servern: Wer ist verantwortlich für die Domain .de? --> Antwort, dann die Frage an dem Domainserver, der für .de verantwortlich ist, wer denn für spiegel.de verantwortlich ist. --> Antwort, dann Anfrage an den Domainserver, der für spiegel.de verantwortlich ist, welche IP der host www.spiegel.de hat. So, das ist der Normalfall. Die erste Anfrage an die Root-Server nennt man gelegentlich auch AAAA Anfragen, bzw. werden sie so dargestellt.

Nun zum Problem:

Angenommen ich habe den lokalen Rechner "krusty". Dieser will sich jetzt auf den Rechner "homer" per ssh verbinden. Beide sind beim dns mit "krusty.springfield.net" bzw. "homer.springfield.net" bekannt. Auf dem Rechner krusty ist als Suchpfad noch springfield.net angegeben.

Gebe ich jetzt auf krusty ein:
ssh root@homer.springfield.net

werden automatisch (da ich ja einen suchpfad angegeben habe), zwei AAAA Anfragen gestartet, nämlich einmal nach homer.springfield.net und nach homer.springfield.net.springfield.net . Das mutet merkwürdig an, aber genau das passiert. Habe ich keinen Suchpfad eingetragen, so wird nur eine Anfrage generiert, nämlich die nach homer.springfield.net .

Diese beiden Anfragen können relativ schnell beantwortet werden, da beide mal die Domain springfield.net angesprochen wird, für die ja tatsächlich ein Nameserver antworten kann. Die erste Anfrage wird postiv beschieden und man bekommt seine Antwort, bei der zweiten bekommt man als response "no such name". Auch wenn die zweite Anfrage fehlschlägt, so wird sie schnell beantwortet.

Jetzt kommt aber die Krux an der Sache. Gebe ich ein:
ssh root@homer

passiert folgendes: Es werden wiederum zwei AAAA-Anfragen generiert, nämlich die nach homer und nach homer.springfield.net . Frage ich aber bei den Root-Servern direkt nach dem host homer, kriege ich natürlich ebenfalls die Antwort "no such name". Das Problem ist nur, dass die Antwort einfach viel länger auf sich warten lässt. Und genau hier liegt der Hund begraben.