Re: Welche TTL fuer welche DNS-Eintraege?

Autor: Marc Haber <mh+uugrn_at_zugschlus.de>
Datum: Tue, 9 Jun 2015 13:25:06 +0200
[sorry, Rabe, die erste Instanz dieser MAil sollte an die Liste]

On Sun, Jun 07, 2015 at 12:48:09AM +0200, Raphael Eiselstein wrote:
> On Sat, Jun 06, 2015 at 08:36:27AM +0200, Marc Haber wrote:
> > On Sat, Jun 06, 2015 at 12:18:33AM +0200, Raphael Eiselstein wrote:
> > > ich musste gestern in einer Reihe von Domains Records ändern (neue
> > > IP-Adressen) und habe dann natürlich zu spät bemerkt, dass die Records
> > > allesamt eine TTL von 6h hatten, dem default der jeweiligen Zone 
> > > ($TTL 6h), entsprechend lange hat die Änderung gedauert, bis 99% des
> > > Traffics "drüben" waren (Umzug von einem Reverse-Proxy auf einen
> > > anderen, so gesehen war es noch verschmerzlich)
> > > 
> > > Was sind *sinnvolle* TTLs?
> > Lange.
> 
> Warum ist - als Beispiel - 12h besser als 1h besser als 10min?

Weil sich eine Störung im DNS auf diese Weise nicht sofort auf die
Dienstverfügbarkeit auswirkt. Ja, das hat nur Vorteile wenn man den
DNS unabhängig und aktiv monitored, damit man DNS-Störungen bemerkt
_bevor_ sie sich auf die Verfügbarkeit anderer Dienste auswirkt.

Und dann gibt es natürlich noch das Totschlagargument Antwortzeit. Was
der Recursor schon im Cache hat und was noch nicht expired ist, kann
er massiv schneller beantworten. Das wirkt sich besonders dann aus,
wenn Recursor und autoritativer Server "weit" auseinanderstehen, wie
es im Endkundenverhältnis oft mal vorkommt. Und es gibt ja auch
Dienste die, wie wir beide wissen, gleich Calls verlieren nur weil der
DNS mal 'ne halbe Sekunde braucht.

Und dann natürlich noch Last auf den autoritativen Servern, weil die
Recursoren öfter nachfragen müssen.

> > > * $TTL 3600 am Anfang im Zonefile, also der default für alle folgenden RR
> > > * A und AAAA haben eine TTL von 600 (10min)
> > Das ist IMO viel zu kurz und die Garantie für Probleme, wenn man
> > Fehler nicht _SOFORT_ bemerkt.
> 
> Du meinst, wenn der (bzw. ein) DNS-Server mal kurz einen Aussetzer hat,
> dann schlägt sich das bei kleiner TTL schneller durch? 

Genau.

> > > Welche TTL sollte ein SOA-Record innerhalb der Zone selbst haben?
> > Eine sehr viel längere.
> 
> Wirklich dumme Frage: Wozu wird der SOA (und durch wen) eigentich
> abgerufen?

Hauptsächlich machen das die Slave-Server, aber auch beim Monitoring
macht man das gerne um zu gucken ob die Zone überhaupt geladen und
aktuell ist.

> (SOA, 5. Timeout vs "notify")
> > Wenn notify funktioniert und die Slaves richtig handeln.
> 
> Müsste ich mal Herrn J.U. aus M. fragen, der ns{1..3} betreibt. Meiner
> Wahrnehmung nach funktioniert das bei ihm immer. Bei anderen Anbietern
> (hidden Primary Setup) hab ich bei ansonsten gleichem Setup deutlich
> mehr Probleme gehabt, d.h. notify hat nicht funktioniert.

Unfähige DNS- oder Firewall-Admins gibt es mehr als man denkt. Dass
sie in Deinem Umfeld nicht existieren, ist gut für Dich.

Grüße
Marc


-- 
-----------------------------------------------------------------------------
Marc Haber         | "I don't trust Computers. They | Mailadresse im Header
Leimen, Germany    |  lose things."    Winona Ryder | Fon: *49 6224 1600402
Nordisch by Nature |  How to make an American Quilt | Fax: *49 6224 1600421
-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/
Empfangen am 09.06.2015

Dieses Archiv wurde generiert von hypermail 2.2.0 : 09.06.2015 CEST