Discussione:
RISOLUZIONE DNS
(troppo vecchio per rispondere)
dr.snail
2004-04-08 09:26:25 UTC
Permalink
Buongiorno a tutti quelli che mi leggeranno,
ho un problema di invio posta ai domini @libero.it e ho
scoperto che il problema e' nella risoluzione dns dei
record MX: utilizziamo su ISA un server DNS pubblico che
risolve tutto tranne libero...qualcuno potrebbe darmi
qualche suggerimento? ho gia' provato a cambiare il server
dns ma il problema persiste!

Grazie a tutti
dr.@
ObiWan
2004-04-08 10:12:24 UTC
Permalink
Post by dr.snail
Buongiorno a tutti quelli che mi leggeranno,
Ciao
Post by dr.snail
scoperto che il problema e' nella risoluzione dns dei
record MX: utilizziamo su ISA un server DNS pubblico che
risolve tutto tranne libero...qualcuno potrebbe darmi
qualche suggerimento? ho gia' provato a cambiare il server
dns ma il problema persiste!
Hm .. prova ad aprire un prompt comandi su ISA e poi usa
il comando nslookup come segue

nslookup -type=MX libero.it. 1.2.3.4

dove 1.2.3.4 va sostituito con l'indirizzo IP del server DNS
verso il quale indirizzare la richiesta; se quanto sopra non
funziona con i servers da te utilizzati il problema potrebbe
essere imputabile ad un'errata configurazione dei DNS in
uso o ad un'errata configurazione del packet filtering ISA
per verificare quanto sopra, prova con questo comando

nslookup -type=MX libero.it. 193.155.207.61

il server sopra è un server pubblico (per maggiori info vedi
http://european.ch.orsn.net/tech-pubdns.php) e se il packet
filtering di ISA (e/o di un'eventuale firewall "a monte") è stato
correttamente configurato dovresti ricevere l'elenco dei rec.
MX relativi a "libero.it"; in caso contrario, verifica il packet
filter ed assicurati che il traffico verso la porta 53 _esterna_
venga permesso sia per UDP (come già dovrebbe essere)
che per TCP

In buona sostanza, sospetto che il problema sia dovuto ad
un'errato filtraggio delle query DNS su TCP, ora, nel caso in
cui la risposta ad una query DNS (su UDP) non entri in un
singolo pacchetto UDP, tale query viene ripetuta usando TCP
solo che, se TCP su 53 è disabilitato la query verrà "filtrata"
e la risoluzione DNS fallirà, nel caso di libero (e di altri domini)
questo è molto probabile dato che la risposta alla query MX
su libero.it è una cosa del genere

K:\Temp>nslookup -type=MX libero.it. 193.155.207.61

Server: resolver.netteam.de
Address: 193.155.207.61

Risposta da un server non di fiducia:
libero.it MX preference = 10, mail exchanger = mx5.libero.it
libero.it MX preference = 10, mail exchanger = mx1.libero.it
libero.it MX preference = 10, mail exchanger = mx2.libero.it
libero.it MX preference = 10, mail exchanger = mx3.libero.it
libero.it MX preference = 10, mail exchanger = mx4.libero.it

libero.it nameserver = ns2.libero.it
libero.it nameserver = ns1.libero.it
mx1.libero.it internet address = 193.70.192.92
mx1.libero.it internet address = 193.70.192.54
mx1.libero.it internet address = 193.70.192.55
mx1.libero.it internet address = 193.70.192.59
mx1.libero.it internet address = 193.70.192.90
mx2.libero.it internet address = 193.70.192.59
mx2.libero.it internet address = 193.70.192.90
mx2.libero.it internet address = 193.70.192.92
mx2.libero.it internet address = 193.70.192.54
mx2.libero.it internet address = 193.70.192.55
mx3.libero.it internet address = 193.70.192.59
mx3.libero.it internet address = 193.70.192.90
mx3.libero.it internet address = 193.70.192.92
mx3.libero.it internet address = 193.70.192.54
mx3.libero.it internet address = 193.70.192.55
mx4.libero.it internet address = 193.70.192.54
mx4.libero.it internet address = 193.70.192.55
mx4.libero.it internet address = 193.70.192.59
mx4.libero.it internet address = 193.70.192.90
mx4.libero.it internet address = 193.70.192.92

come vedi quanto sopra NON entrerà sicuramente in un
singolo pacchetto UDP per cui sarà necessario ripetere
la query (ed ottenere una risposta) su TCP

fammi/facci (il newsgroup) sapere !!

Ciao
dr.snail
2004-04-09 09:19:13 UTC
Permalink
Ciao ObiWan,
grazie per la dritta, in serata ci provo e ti faccio
sapere il risultato. La cosa strana e' che si comporta
cosi' solo con libero.it mentre con altri domini funziona
tutto correttamente (leggi tiscali) e, per quanto ne so,
non e' stata cambiata alcuna configurazione riguardo al
packetfiltering su ISA e, fino ad un mese fa circa,
funzionava tutto...mah!
Ti aggiorno sui risultati e sulle prove fatte.

Grazie ancora e Buona Pasqua
-----Messaggio originale---
Post by dr.snail
Buongiorno a tutti quelli che mi leggeranno,
Ciao
Post by dr.snail
scoperto che il problema e' nella risoluzione dns dei
record MX: utilizziamo su ISA un server DNS pubblico
che
Post by dr.snail
risolve tutto tranne libero...qualcuno potrebbe darmi
qualche suggerimento? ho gia' provato a cambiare il
server
Post by dr.snail
dns ma il problema persiste!
Hm .. prova ad aprire un prompt comandi su ISA e poi usa
il comando nslookup come segue
nslookup -type=MX libero.it. 1.2.3.4
dove 1.2.3.4 va sostituito con l'indirizzo IP del server
DNS
verso il quale indirizzare la richiesta; se quanto sopra
non
funziona con i servers da te utilizzati il problema
potrebbe
essere imputabile ad un'errata configurazione dei DNS in
uso o ad un'errata configurazione del packet filtering
ISA
per verificare quanto sopra, prova con questo comando
nslookup -type=MX libero.it. 193.155.207.61
il server sopra è un server pubblico (per maggiori info
vedi
http://european.ch.orsn.net/tech-pubdns.php) e se il
packet
filtering di ISA (e/o di un'eventuale firewall "a
monte") è stato
correttamente configurato dovresti ricevere l'elenco dei
rec.
MX relativi a "libero.it"; in caso contrario, verifica
il packet
filter ed assicurati che il traffico verso la porta 53
_esterna_
venga permesso sia per UDP (come già dovrebbe essere)
che per TCP
In buona sostanza, sospetto che il problema sia dovuto ad
un'errato filtraggio delle query DNS su TCP, ora, nel
caso in
cui la risposta ad una query DNS (su UDP) non entri in un
singolo pacchetto UDP, tale query viene ripetuta usando
TCP
solo che, se TCP su 53 è disabilitato la query
verrà "filtrata"
e la risoluzione DNS fallirà, nel caso di libero (e di
altri domini)
questo è molto probabile dato che la risposta alla query
MX
su libero.it è una cosa del genere
K:\Temp>nslookup -type=MX libero.it. 193.155.207.61
Server: resolver.netteam.de
Address: 193.155.207.61
libero.it MX preference = 10, mail exchanger =
mx5.libero.it
libero.it MX preference = 10, mail exchanger =
mx1.libero.it
libero.it MX preference = 10, mail exchanger =
mx2.libero.it
libero.it MX preference = 10, mail exchanger =
mx3.libero.it
libero.it MX preference = 10, mail exchanger =
mx4.libero.it
libero.it nameserver = ns2.libero.it
libero.it nameserver = ns1.libero.it
mx1.libero.it internet address = 193.70.192.92
mx1.libero.it internet address = 193.70.192.54
mx1.libero.it internet address = 193.70.192.55
mx1.libero.it internet address = 193.70.192.59
mx1.libero.it internet address = 193.70.192.90
mx2.libero.it internet address = 193.70.192.59
mx2.libero.it internet address = 193.70.192.90
mx2.libero.it internet address = 193.70.192.92
mx2.libero.it internet address = 193.70.192.54
mx2.libero.it internet address = 193.70.192.55
mx3.libero.it internet address = 193.70.192.59
mx3.libero.it internet address = 193.70.192.90
mx3.libero.it internet address = 193.70.192.92
mx3.libero.it internet address = 193.70.192.54
mx3.libero.it internet address = 193.70.192.55
mx4.libero.it internet address = 193.70.192.54
mx4.libero.it internet address = 193.70.192.55
mx4.libero.it internet address = 193.70.192.59
mx4.libero.it internet address = 193.70.192.90
mx4.libero.it internet address = 193.70.192.92
come vedi quanto sopra NON entrerà sicuramente in un
singolo pacchetto UDP per cui sarà necessario ripetere
la query (ed ottenere una risposta) su TCP
fammi/facci (il newsgroup) sapere !!
Ciao
.
ObiWan
2004-04-09 11:21:51 UTC
Permalink
Post by dr.snail
grazie per la dritta, in serata ci provo e ti faccio
sapere il risultato. La cosa strana e' che si comporta
cosi' solo con libero.it mentre con altri domini funziona
tutto correttamente (leggi tiscali)
Dipende da come rispondono i DNS.. o meglio dalla
dimensione totale della risposta, quella di libero di
sicuro non entra in un singolo pkt UDP, per tiscali non
so .. non ho verificato..
Post by dr.snail
e, per quanto ne so, non e' stata cambiata alcuna
configurazione riguardo al packetfiltering su ISA e,
fino ad un mese fa circa, funzionava tutto...mah!
Uhm .. se ISA andava il problema potrebbe essere dovuto
ad una errata configurazione dei DNS che usi come forward
i quali non accettano queries su TCP ma solo su UDP.. detto
questo, prova ad impostare come forwarders i servers che
trovi qui http://european.ch.orsn.net/tech-pubdns.php e vedi
se il problema si risolve; riguardo ISA, verifica di avere un
paio di filtri tipo

TCP OutBound All Ports Fixed Port 53
UDP Send/Recv All Ports Fixed Port 53

da applicare ad ISA e con remote computers = all

Ciao
dr.snail
2004-04-13 08:18:42 UTC
Permalink
Ciao Obi1,
ho provato: se faccio nslookup con il server esterno che
utilizzo funziona tutto ma se lo faccio con quello interno
(che non ha la zona .) niente fa fare: mi va in errore di
timeout. Ho verificato il filtering su ISA ma, anche
abilitando il traffico outbound sulla porta 53, non e'
cambiato nulla. Domanda da gnorante: non essendoci la
zona . sul nostro DNS e vero' che per la risoluzione dei
nomi vengono utilizzate le Root Hints? potrebbe essere li'
il problema? utilizzando nslookup con il nostro server dns
il dominio libero.it viene risolto (mi restituisce
l'indirizzo ip) ma niente da fare per l'mx....help me!

Che lo sforzo sia con me!
-----Messaggio originale---
Post by dr.snail
grazie per la dritta, in serata ci provo e ti faccio
sapere il risultato. La cosa strana e' che si comporta
cosi' solo con libero.it mentre con altri domini
funziona
Post by dr.snail
tutto correttamente (leggi tiscali)
Dipende da come rispondono i DNS.. o meglio dalla
dimensione totale della risposta, quella di libero di
sicuro non entra in un singolo pkt UDP, per tiscali non
so .. non ho verificato..
Post by dr.snail
e, per quanto ne so, non e' stata cambiata alcuna
configurazione riguardo al packetfiltering su ISA e,
fino ad un mese fa circa, funzionava tutto...mah!
Uhm .. se ISA andava il problema potrebbe essere dovuto
ad una errata configurazione dei DNS che usi come forward
i quali non accettano queries su TCP ma solo su UDP..
detto
questo, prova ad impostare come forwarders i servers che
trovi qui http://european.ch.orsn.net/tech-pubdns.php e
vedi
se il problema si risolve; riguardo ISA, verifica di
avere un
paio di filtri tipo
TCP OutBound All Ports Fixed Port 53
UDP Send/Recv All Ports Fixed Port 53
da applicare ad ISA e con remote computers = all
Ciao
.
dr.snail
2004-04-13 15:33:49 UTC
Permalink
Ci sono riuscitooooooooooooooooooooooooo!!!!
Era un problema di Root Hints: in Windows 2003 ci sono due
root hints (la B e la J) sbagliate, le ho corrette con i
dati scaricati da internic.net, ho fatto un flushdns, ho
svuotato la cache e riavviato il DNS...FUNZIONAAAAA!!

Grazie per la collaborazione
-----Messaggio originale---
Buongiorno a tutti quelli che mi leggeranno,
scoperto che il problema e' nella risoluzione dns dei
record MX: utilizziamo su ISA un server DNS pubblico che
risolve tutto tranne libero...qualcuno potrebbe darmi
qualche suggerimento? ho gia' provato a cambiare il
server
dns ma il problema persiste!
Grazie a tutti
.
ObiWan
2004-04-13 17:19:42 UTC
Permalink
Post by dr.snail
Ci sono riuscitooooooooooooooooooooooooo!!!!
Era un problema di Root Hints: in Windows 2003 ci
sono due root hints (la B e la J) sbagliate, le ho corrette
con i dati scaricati da internic.net, ho fatto un flushdns, ho
svuotato la cache e riavviato il DNS...FUNZIONAAAAA!!
Si .. ork ... avevo dimenticato, il B ed il J hanno cambiato
indirizzo qualche tempo fa a seguito della creazione di
"shadow servers" (diciamo ... clustering) per cui gli hints
forniti con Win2003 erano disallineati ... beh, su questo
andrebbe fatta una bella nota (magari in KB) :-)

Sono contento di sapere che ora funziona tutto e .. senza
utilizzare NESSUN forwarder :-6 .. ma così come dovrebbe
funzionare... ossia usando root-hints e ricorsione :-) !!

Ciao
dr.snail
2004-04-13 17:50:10 UTC
Permalink
Gia'...e' stata dura senza KB ma ce l'abbiamo fatta!!!
Grazie 1000 e complimenti per la preparazione...
Cosa fai di bello nella vitaccia?

Saluddi
-----Messaggio originale---
Post by dr.snail
Ci sono riuscitooooooooooooooooooooooooo!!!!
Era un problema di Root Hints: in Windows 2003 ci
sono due root hints (la B e la J) sbagliate, le ho
corrette
Post by dr.snail
con i dati scaricati da internic.net, ho fatto un
flushdns, ho
Post by dr.snail
svuotato la cache e riavviato il DNS...FUNZIONAAAAA!!
Si .. ork ... avevo dimenticato, il B ed il J hanno
cambiato
indirizzo qualche tempo fa a seguito della creazione di
"shadow servers" (diciamo ... clustering) per cui gli
hints
forniti con Win2003 erano disallineati ... beh, su questo
andrebbe fatta una bella nota (magari in KB) :-)
Sono contento di sapere che ora funziona tutto e .. senza
utilizzare NESSUN forwarder :-6 .. ma così come dovrebbe
funzionare... ossia usando root-hints e ricorsione :-) !!
Ciao
.
ObiWan
2004-04-14 07:17:50 UTC
Permalink
Post by dr.snail
Gia'...e' stata dura senza KB ma ce l'abbiamo fatta!!!
Grazie 1000 e complimenti per la preparazione...
Beh .. prego, si fa quel che si può
...... tempo permettendo :-)
Post by dr.snail
Cosa fai di bello nella vitaccia?
Il termine tecnico sarebbe un'altro..
il termine "non tecnico" invece è ....

L'aggiustarogne :-)

Ciao
dr.snail
2004-04-14 07:40:41 UTC
Permalink
Problem solver e' piu' d'effetto pero'...eheheheheh

Alla prox
Byez
-----Messaggio originale---
Post by dr.snail
Gia'...e' stata dura senza KB ma ce l'abbiamo fatta!!!
Grazie 1000 e complimenti per la preparazione...
Beh .. prego, si fa quel che si può
....... tempo permettendo :-)
Post by dr.snail
Cosa fai di bello nella vitaccia?
Il termine tecnico sarebbe un'altro..
il termine "non tecnico" invece è ....
L'aggiustarogne :-)
Ciao
.
ObiWan
2004-04-14 09:25:28 UTC
Permalink
Post by dr.snail
Problem solver e' piu' d'effetto
pero'...eheheheheh
Si vabbè ma è troppo "pomposo" :-)

Uh, a propo, se sei in vena di "esperimenti"
eccoti una config alternativa per il DNS che
invece dei root-hints usa .. l'intera root-zone
e che, avendo una connex "decente" risulta
anche più veloce della config "root hints"

1) Rinomina ...\system32\dns\cache.dns in (es.) cache.bak

2) Apri la console del DNS, click destro, proprietà, parametri
principali, elimina TUTTI i root servers (a.root-server....)

3) Arresta il servizio DNS e chiudi la console

4) Se hai AD, apri la console AD, seleziona il nodo DNS, trova
il sottonodo contenente i root servers ed eliminalo, chiudi la
console di AD

5) Avvia il DNS, apri la console e controlla che in "parametri principali"
non siano elencati i root servers, in caso contrario ricontrolla in AD e
ripeti quanto sopra dal punto 2

6) Crea una nuova zona diretta; tipo secondaria standard, nome "."
(solo un punto), servers primari 192.5.5.241, 192.228.79.201 ed
infine 192.33.4.12

7) Click destro sulla nuova zona, seleziona "trasferisci dal primario"
se tutto è ok in qualche secondo la zona "." sarà popolata con i
vari TLD come ad es. "com" "net" ecc.... se questo non avviene
verifica i logs del tuo firewall, probabilmente dovrai modificare la
config per permettere il trasferimento di zona

8) Crea una nuova zona inversa; tipo secondaria standard, nome
"in-addr.arpa", servers primari 192.5.5.241 192.33.4.12

9) Click destro sulla nuova zona, seleziona "trasferisci dal primario"
se tutto è ok in qualche secondo la zona "in-addr.arpa." sarà
popolata con gli IP blocks principali

Fatto, a questo punto invece dei root-hints il tuo DNS starà utilizzando
una copia locale delle zone "root" sia per la zona diretta che per quella
inversa, questo permette di risparmiare le queries verso i root servers
inoltre l'aggiornamento di tali zone viene fatto "in automatico" dal tuo DNS
senza bisogno di alcun intervento aggiuntivo

Ciao

PS: occhio che al punto (5) il DNS non sarà in grado di risolvere i nomi
la cosa funzionerà solo dal punto 7 in avanti, inoltre, se volessi
riportare la config a "root hints", basterà eliminare le due zone di
cui sopra, arrestare il dns, rinominare cache.bak in cache.dns e
riavviare il DNS a questo punto AD si riaggiornerà automaticamente
e sarai di nuovo alla config "root hints" iniziale

Ri-Ciao

Continua a leggere su narkive:
Loading...