2012年4月27日 星期五

dns企業環境淺談

本篇不適合沒有dns管理基礎的人瀏覽,請注意
最近因為公司的網路變慢,造成有些網站無法瀏覽,或是會出現一些email server query time out的狀況,所以針對內部的環境做了一些調整
原本是內部有3台windows server 2008 r2的ad搭配dns,讓內部的主機跟電腦做recursive query,再透過固定的wan連線對外,所以每一筆dns query都會先從root dns開始做recursive query,而最多的時候會有4千筆左右的dns query session

在觀察過網路流量之後,決定把dns server改由另外一條上傳頻寬loading較輕的wan出去,狀況並沒有明顯改善

觀察firewall session,決定把mail gateway的查詢改由public dns 8.8.8.8 , 8.8.4.4 , 168.95.1.1以及轉寄到內部的exchange server的mail routing直接指定ip,減少對內部的dns  server query session,改善了email server dns query time out的狀況,但是內部電腦dns query time out的狀況並沒有改善

決定調整dhcp指派的dns ip,除了因為內部電腦有加入windows ad網域必須存在的windows dns ip之後,新增8.8.8.8 , 8.8.4.4 , 168.95.1.1在windows dns後面
調整windows dns server,從原本的每一筆query都做recursive query改成加入forwarder,指定除了自己負責的網域之外的query,都往8.8.8.8 , 8.8.4.4 , 168.95.1.1丟

這樣調整之後,dns query session從大約4千筆左右降到約9百到1千左右,內部電腦跟email gateway的dns query速度都大幅度提升,提升到約10 msec以內,也不再出現網站連線time out的狀況

缺點是準確度會降低,有些更新的dns設定,如果對方沒有在ttl上先做好調整在修改dns record的話,那查詢到的結果就會有錯誤

在做這樣的調整之前,必須先要懂dns recursive query跟forwarder的觀念,也必須了解為甚麼windows pc必須要將dns指向ad dns,開機速度才會正常,也才能夠正常登入windows ad網域
還得懂怎麼從網路設備跟流量圖上看出是甚麼原因造成網路速度慢,mail log也得要看的懂訊息,這些基礎觀念都要有

沒有留言:

張貼留言