Abschaltung externe DNS View gestern

Daniel Baumann daniel.baumann at bfh.ch
Tue Jun 21 09:26:21 CEST 2022 

Hallo zusammen

Kurzfassung
===========

Wir haben gestern Abend die externe DNS View abgeschaltet, dabei
sind uns zwei Fehler passiert:

  * Durch eine nachtraegliche Optimierung auf den DNS Load Balancern
    wurde fuer bfh.ch und die SharePoint-onprem Records die externe
    View bei Queries an 147.87.0.10 / 2a07:6b40::10 zurueckgegeben.

    => Seit heute 06:15 korrigiert, relativ unproblematisch weil
       erholt sich nach Korrektur schnell und automatisch.

  * Leider haben wir gestern vergessen, neben der itslab.bfh.ch
    Subzone auch die beiden _tcp.bfh.ch und _udp.bfh.ch Subzonen
    welche fuer Service Discovery benutzt werden, umzuschreiben.

    => Seit heute 08:30 korrigiert, benoetigt auf den Windows Clients
       ggf. ein Logout/Login.


Hintergrund
===========

Wie schon lange angesagt, haben wir im Rahmen des Abbaus der Infoblox
Appliance die bisherig unterschiedlichen DNS Views fuer intern und
extern durch eine einzige View ersetzt:

  * Die interne View ist wegen den DDNS Eintraegen der Clients
    "groesser" als die externe View. Deshalb haben wir in den letzten
    Wochen alle nur extern eingetragenen Records intern nacherfasst,
    sowie alle Records die extern existieren und intern einen anderen
    Wert haben, ensprechend korrigiert.

  * Abgesehen von bfh.ch selbst (extern Webserver, intern MS AD), den 6
    folgenden SharePoint Legacy-Records sowie allen internen DDNS
    Eintraegen der Clients sind jetzt somit beide Views identisch:

    - intranet.bfh.ch
    - intranet-i.bfh.ch
    - mysite.bfh.ch
    - my-i.bfh.ch
    - officewebapps.bfh.ch
    - officewebapps-i.bfh.ch

  * Gestern um 17:00 Uhr haben wir als erstes die obigen Records in der
    internen View auf die Werte der externen View gesetzt, danach die
    externe View abgeschaltet (spaeter werden wir sie dann loeschen).

  * Da wir zuvor obigen Records schon als statische Hints auf den
    Resolvern konfiguriert haben, aendert sich somit trotz des Aendern
    der Records in der internen View, und, des Wechsels auf die interne
    View fuer extern, bzgl. dieser Records nichts.

  * Zusammenfassend aendern sich also nur drei Dinge:

    - Infoblox hat nur noch eine View
    - sollten MS AD oder die SharePoint-Legacy Records angepasst werden,
      muessen die statischen Hints angepasst werden
    - die bisher internen Records sind auch von extern aufloesbar

    Letzteres ist grundsaetzlich das korrekte Verhalten, speziell
    in Bezug auf DoH, BYOD und aus Security/Privacy Sicht... mehr dazu
    in den naechsten Tagen in unserem "alles Wissenswerte ueber neues
    DNS"-Mail fuer die, dies interessiert.

  * Fuer alle authoritativen Zonen (ausser bfh.ch) leiten wir die
    Queries aus Performance- und Resilience-Gruenden seit jeher von den
    Resolver und den Load Balancern direkt an die authoritativen Server
    um.

    Fuer bfh.ch konnten wir das bisher nicht machen, weil Infoblox
    zu langsam war und mit der Menge Queries nicht umgehen konnte.
    Daher haben wir bfh.ch auf den Resolvern gecached (und die Load
    Balancer leiten fuer bfh.ch auf die Resolver um).

  * Mit dem Wegfall der unterschiedlichen Views ist es nun moeglich,
    die Queries fuer bfh.ch analog aller anderen authoritativen Zonen
    direkt auf die authoritativen Server zu richten.

    Aus historischen Gruenden gibt es auf bfh.ch neben itslab.bfh.ch
    noch 4 weitere authoritative Subzonen (noc.bfh.ch haben wir schon
    vorher weggeraeumt). Diese sind in Infoblox separat und
    unterschiedlich konfiguriert:

    - _msdcs.bfh.ch
    - _sites.bfh.ch
    - _tcp.bfh.ch
    - _udp.bfh.ch

    _tcp und _udp werden primaer fuer Service Discovery der Windows
    Systeme benutzt (daruer finden sie z.B. das zustaendige Active
    Directory).

  * Da obige Subzonen, aus historischen Gruenden, nur in der
    internen View nicht aber in der externen View als eigene Subzone
    konfiguriert waren, gingen diese vergessen und wurden somit nicht
    auf die authoritativen Server uebertragen.

    Durch Umstellen der Load Balancer und Resolver auf Forward zu den
    authoritativen Servern wurden Queries dafuer neu mit "leer"
    beantwortet (NXDOMAIN).

    Daraus ergaben sich eine Service-Einschraenkungen und -Stoerungen in
    den letzten Stunden, wir entschuldigen uns fuer die enstandenen
    Unannehmlichkeiten.

Gruesse,
Daniel

-- 
Berner Fachhochschule / Bern University of Applied Sciences
Services / IT-Services
Daniel Baumann
Teamleiter Linux & Infrastructure Services
___________________________________________________________
Dammweg 3, CH-3013 Bern
Telefon direkt +41 31 848 48 22
Telefon Servicedesk +41 31 848 48 48
daniel.baumann at bfh.ch




-- 
Berner Fachhochschule / Bern University of Applied Sciences
Services / IT-Services
Daniel Baumann
Teamleiter Linux & Infrastructure Services
___________________________________________________________
Dammweg 3, CH-3013 Bern
Telefon direkt +41 31 848 48 22
Telefon Servicedesk +41 31 848 48 48
daniel.baumann at bfh.ch
https://bfh.ch
https://bfh.science

More information about the bfh-linux-announce mailing list