[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Welche TTL fuer welche DNS-Eintraege?
[Thread Prev] | [Thread Next]
- Subject: Re: Welche TTL fuer welche DNS-Eintraege?
- From: Marc Haber <mh+uugrn@xxxxxxxxxxxx>
- Date: Tue, 9 Jun 2015 13:25:06 +0200
- To: uugrn@xxxxxxxxxxxxxxx
[sorry, Rabe, die erste Instanz dieser MAil sollte an die Liste]
On Sun, Jun 07, 2015 at 12:48:09AM +0200, Raphael Eiselstein wrote:
> On Sat, Jun 06, 2015 at 08:36:27AM +0200, Marc Haber wrote:
> > On Sat, Jun 06, 2015 at 12:18:33AM +0200, Raphael Eiselstein wrote:
> > > ich musste gestern in einer Reihe von Domains Records aendern (neue
> > > IP-Adressen) und habe dann natuerlich zu spaet bemerkt, dass die Records
> > > allesamt eine TTL von 6h hatten, dem default der jeweiligen Zone
> > > ($TTL 6h), entsprechend lange hat die Aenderung gedauert, bis 99% des
> > > Traffics "drueben" waren (Umzug von einem Reverse-Proxy auf einen
> > > anderen, so gesehen war es noch verschmerzlich)
> > >
> > > Was sind *sinnvolle* TTLs?
> > Lange.
>
> Warum ist - als Beispiel - 12h besser als 1h besser als 10min?
Weil sich eine Stoerung im DNS auf diese Weise nicht sofort auf die
Dienstverfuegbarkeit auswirkt. Ja, das hat nur Vorteile wenn man den
DNS unabhaengig und aktiv monitored, damit man DNS-Stoerungen bemerkt
_bevor_ sie sich auf die Verfuegbarkeit anderer Dienste auswirkt.
Und dann gibt es natuerlich noch das Totschlagargument Antwortzeit. Was
der Recursor schon im Cache hat und was noch nicht expired ist, kann
er massiv schneller beantworten. Das wirkt sich besonders dann aus,
wenn Recursor und autoritativer Server "weit" auseinanderstehen, wie
es im Endkundenverhaeltnis oft mal vorkommt. Und es gibt ja auch
Dienste die, wie wir beide wissen, gleich Calls verlieren nur weil der
DNS mal 'ne halbe Sekunde braucht.
Und dann natuerlich noch Last auf den autoritativen Servern, weil die
Recursoren oefter nachfragen muessen.
> > > * $TTL 3600 am Anfang im Zonefile, also der default fuer alle folgenden RR
> > > * A und AAAA haben eine TTL von 600 (10min)
> > Das ist IMO viel zu kurz und die Garantie fuer Probleme, wenn man
> > Fehler nicht _SOFORT_ bemerkt.
>
> Du meinst, wenn der (bzw. ein) DNS-Server mal kurz einen Aussetzer hat,
> dann schlaegt sich das bei kleiner TTL schneller durch?
Genau.
> > > Welche TTL sollte ein SOA-Record innerhalb der Zone selbst haben?
> > Eine sehr viel laengere.
>
> Wirklich dumme Frage: Wozu wird der SOA (und durch wen) eigentich
> abgerufen?
Hauptsaechlich machen das die Slave-Server, aber auch beim Monitoring
macht man das gerne um zu gucken ob die Zone ueberhaupt geladen und
aktuell ist.
> (SOA, 5. Timeout vs "notify")
> > Wenn notify funktioniert und die Slaves richtig handeln.
>
> Muesste ich mal Herrn J.U. aus M. fragen, der ns{1..3} betreibt. Meiner
> Wahrnehmung nach funktioniert das bei ihm immer. Bei anderen Anbietern
> (hidden Primary Setup) hab ich bei ansonsten gleichem Setup deutlich
> mehr Probleme gehabt, d.h. notify hat nicht funktioniert.
Unfaehige DNS- oder Firewall-Admins gibt es mehr als man denkt. Dass
sie in Deinem Umfeld nicht existieren, ist gut fuer Dich.
Gruesse
Marc
--
-----------------------------------------------------------------------------
Marc Haber | "I don't trust Computers. They | Mailadresse im Header
Leimen, Germany | lose things." Winona Ryder | Fon: *49 6224 1600402
Nordisch by Nature | How to make an American Quilt | Fax: *49 6224 1600421
--
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/