<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div>If you get the EDNS errors for many or most remote name servers, look to your firewall as a suspected culprit. Otherwise, a few of these messages are normal.</div><div><br></div><div>You might be able to set query-source (and other *-source) options to just IPv4 addresses to disable use of IPv6. However, this shouldn't be a source of your slowness -- on most OS's, named figures out in very short order (for any given query) that the remote network is not available over IPv6.</div><div><br></div><div>The most obvious suspects are the EDNS problems and the number of unavailable forwarders -- as discussed previously in this thread, they all have to be tried once before the server will fail back to doing its own recursion.</div><div><br></div><div>Regards,</div><div>Chris Buxton</div><div>BlueCat Networks</div><br><div><div>On Nov 1, 2011, at 8:00 AM, Will Lists wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div>I did get a chance to dig through the syslogs finally on one of the internal name servers and I'm seeing a lot of these three entries for various domains.  I would have to assume that one or all of these items would also contribute to the lengthy times to resolve queries?</div>
<div><br></div><div><br></div><div>named[16593]: error (network unreachable) resolving '<a href="http://a1294.w20.akamai.net/A/IN">a1294.w20.akamai.net/A/IN</a>': 2001:428:1802:3f0:8719:deda:1eed:ea4#53</div><div>
<br></div><div>-- This would be due to our network (internal or external) not supporting IPv6 I would assume.  I see that you can use the -4 flag when starting named to force IPv4 only, but I'm not sure if/how you could actually force this configuration via the named.conf file itself.</div>
<div><br></div><div><br></div><div>named[16593]: success resolving '<a href="http://ns2.gslb.com/AAAA">ns2.gslb.com/AAAA</a>' (in '<a href="http://gslb.com/">gslb.com</a>'?) after reducing the advertised EDNS UDP packet size to 512 octets</div>
<div><br></div><div>-- Firewall configuration in regards to packet sizes?</div><div><br></div><div><br></div><div>named[16593]: success resolving '<a href="http://ns2.gslb.com/A">ns2.gslb.com/A</a>' (in '<a href="http://gslb.com/">gslb.com</a>'?) after disabling EDNS</div>
<div><br></div><div>-- ?</div><div><br></div><div><br></div><div>Thanks</div><div><br></div><div>-Will</div><div><div><br></div><div><br><br><div class="gmail_quote">On Tue, Nov 1, 2011 at 9:13 AM, Ben Croswell <span dir="ltr"><<a href="mailto:ben.croswell@gmail.com">ben.croswell@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><p>If a given forwarder is "bad " it get its round trip time, rtt, set high and will not be used until that comes back down via the normal rtt decay mechanism in BIND. I have not tested the behaviour when all are down. My assumption would be that if all are down they will all have to be tried before going to NS or there is no way of knowing when the forwarders are back. </p><p>In your case if you have a limited number of servers a quick removal of the forwarders may be the quickest way to restore service.</p><p>-Ben Croswell</p>
<div class="gmail_quote">On Nov 1, 2011 10:03 AM, "Will Lists" <<a href="mailto:listswill@gmail.com" target="_blank">listswill@gmail.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Ben,<div><br></div><div>I seem to recall reading at some point in the past that after X amount of time, BIND would stop trying to contact servers it figured to be dead (at least it would stop trying for some amount of time).  Is that in fact the case and would it eventually come into play here?  Any configurable options here, if this behavior does exist?<div>


<br></div><div>It almost seems like the best way to handle this scenario, in the event of a real failure of one or more external servers that typically act as forwarders, would be to quickly modify the configuration internally to just stop forwarding.  Thoughts?</div>


<div><br></div><div>Thanks.</div><div><br></div><div><br></div><div>-Will</div><div><br><br><div class="gmail_quote">On Tue, Nov 1, 2011 at 8:54 AM, Ben Croswell <span dir="ltr"><<a href="mailto:ben.croswell@gmail.com" target="_blank">ben.croswell@gmail.com</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p>If you have a global forwarder in place there are two options that affect its use. Forward first, the default, and forward only.<br>



Forward first will exhaust the forwarders you have and then attempt to follow NS records. Forward only will only use forwarders. </p><p>The delay you are seeing is likely the delay in exhausting the forwarders before attempting the roots.</p><p>-Ben Croswell</p>
<div class="gmail_quote">On Nov 1, 2011 9:23 AM, "Will Lists" <<a href="mailto:listswill@gmail.com" target="_blank">listswill@gmail.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



We recently tried a test to see how our internal servers would react to a loss of their external peers, with the goal being that the internal servers would switch from forwarding to doing recursive queries for clients.  Normally, the internal servers forward to the external servers.  To simulate the loss of the external servers, we pushed a new firewall rule that blocked port 53 to the external servers from the internal servers.  That did seem to cause the internal servers to start using the root servers in a recursive manner.<div>




<br></div><div>We did see that some recursive queries were answered, eventually, though usually much, much slower than if the request had been forwarded as normal to the external servers.  We saw traffic (lots of traffic) going across the firewall to the roots as well as multiple domain specific name servers, so that flow path is working as best as I can tell.  All servers are running BIND 9.7.4.</div>




<div><br></div><div>The issue we saw was that the queries would time out more often than not and on the off chance they did get an answer back to the requesting client, it was very slow after several retries.  </div><div>




<br></div><div>Am I missing something in the named.conf file?  Is there something specific I should be looking for in the syslog or daemon.log?</div><div><br></div><div><br></div><div>The relevant portion of the named.conf file for the INTERNAL view is below:</div>




<div><br></div><div><div><br></div><div>    forwarders { NS2; NS1; };</div><div>    forward first;</div><div>    allow-recursion { <a href="http://10.0.0.0/8" target="_blank">10.0.0.0/8</a>; <a href="http://192.168.0.0/16" target="_blank">192.168.0.0/16</a>; <a href="http://172.16.0.0/12" target="_blank">172.16.0.0/12</a>; };    </div>




<div>    recursion yes;</div><div><br></div><div>    // zone: . [hint]</div><div>    include "...";</div></div><div><br></div><div><br></div><div>The hints DB file is current as of the version of BIND in use (2011060800).</div>




<div><br></div><div><br></div><div>Thanks.</div><div><br></div><div>-Will</div>
<br>_______________________________________________<br>
Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br></blockquote></div>
</blockquote></div><br></div></div>
<br>_______________________________________________<br>
Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br></blockquote></div>
</blockquote></div><br></div></div>
_______________________________________________<br>Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br><br>bind-users mailing list<br><a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a><br>https://lists.isc.org/mailman/listinfo/bind-users</blockquote></div><br></body></html>