<div dir="ltr">Our public DNS servers are on site as well.  I user forwarders (as opposed to slaves) from our resolvers to our public DNS servers for our internal domains, and the resolvers still responded for internal domains, even when the recursive count was high and external domains weren't responding.</div>
<div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Mar 27, 2014 at 5:26 PM, Mark Andrews <span dir="ltr"><<a href="mailto:marka@isc.org" target="_blank">marka@isc.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="HOEnZb"><div class="h5"><br>
In message <<a href="mailto:53349E66.8050405@ksu.edu">53349E66.8050405@ksu.edu</a>>, "Lawrence K. Chen, P.Eng." writes:<br>
><br>
><br>
> On 03/26/14 04:02, Sam Wilson wrote:<br>
> > In article <<a href="mailto:mailman.2530.1395774135.20661.bind-users@lists.isc.org">mailman.2530.1395774135.20661.bind-users@lists.isc.org</a>>,<br>
> >  Jason Brandt <<a href="mailto:jbrandt@fsmail.bradley.edu">jbrandt@fsmail.bradley.edu</a>> wrote:<br>
> ><br>
> >> For now, I've disabled DNS inspection on our firewall, as it is an ancient<br>
> >> Cisco firewall services module, and that seems to have stabilized things,<br>
> >> but it's only been 30 minutes or so.  Until I get a few days in, I'll keep<br>
> >> researching.<br>
> ><br>
> > We used to run DNS inspection on our FWSMs.  We didn't notice any issues<br>
> > with DNS resolution per se, but we did find that turning it off dropped<br>
> > the FWSM CPU from ~70% to less than 30%.  We're not aware of any issues<br>
> > that using DNS inspection might have caused.<br>
> ><br>
> > Sam<br>
> ><br>
><br>
> I had to get our DNS servers exempted from our Procera, as it was interfering<br>
> DNSSEC.  The security analyst said it considered some of the large encrypted<br>
> UDPs as P2P.<br>
><br>
> So, every few days (less during busy times), a recursive caching query server<br>
> would stop answering....where restarting it would make it work again.  It was<br>
> to the point where I had our monitoring system restart bind as needed.<br>
><br>
> Eventually, my manager asked about all strange notifications.  Where he then<br>
> pushed it up to the CISO to get the analyst to make the change to stop<br>
> interfering with DNS.<br>
><br>
> They had done a test a few months earlier, and said we didn't complain then.<br>
> I went back through the logs, and found that it had been interfering<br>
> then...but the weekend test wasn't enough to cause any servers to stop responding.<br>
><br>
> I didn't think to see what the client counts were.  Though another time when<br>
> the Procera had stopped passing any traffic, the counts did get really high<br>
> before they stopped working.<br>
><br>
> Need to work on figuring out how to have it resolve local domains when<br>
> Internet connection is down.<br>
<br>
</div></div>Slave the local zones is the simplest solution.<br>
<div class="im HOEnZb"><br>
> --<br>
> Who: Lawrence K. Chen, P.Eng. - W0LKC - Sr. Unix Systems Administrator<br>
> For: Enterprise Server Technologies (EST) -- & SafeZone Ally<br>
> _______________________________________________<br>
> Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
><br>
> bind-users mailing list<br>
> <a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a><br>
> <a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
</div><span class="HOEnZb"><font color="#888888">--<br>
Mark Andrews, ISC<br>
1 Seymour St., Dundas Valley, NSW 2117, Australia<br>
PHONE: <a href="tel:%2B61%202%209871%204742" value="+61298714742">+61 2 9871 4742</a>                 INTERNET: <a href="mailto:marka@isc.org">marka@isc.org</a><br>
</font></span><div class="HOEnZb"><div class="h5">_______________________________________________<br>
Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div>Jason K. Brandt</div><div>Systems Administrator</div><div>Bradley University<br>(309) 677-2958<br></div>
</div>