14
DNS Performance schlecht
Servus zusammen,
ich habe gerade auf 2 Servern teils extrem verzögerte Antworten auf DNS-Requests für externe hosts.
Es betrifft 2016 wie auch 2012.
Beide lösen manche hosts (nicht reproduzierbar) nur sehr langsam auf (mitgezählt bis zu 5 Sekunden).
Es sind auf beiden keine Weiterleitungen aktiviert, beide hängen an unterschiedlichen Internetzugängen. 1x VDSL 100/40 und 1x dt Glasfaser 200/sym
Die DNS-Protokollierung bringt mich nicht weiter.
Auf der Suche nach einem Benchmarktool findet man alles was der Ottonormalverbraucher braucht um seinen DNS-Eintrag im PC zu "tunen". Aber nix was ich mal auf einen lokalen DNS loslassen kann um dem mal einige Zeit Stress zu machen und Antwortzeiten übersichtlich aufgezeigt bekomme.
DNSBlast habe ich gefunden, aber keine binary für Windows. Würde so etwas in der Art gerne direkt auf den Servern laufen lassen um zu schauen wo der Engpass ist.
Wireshark würde ich mir gerne noch ne Weile ersparen.
Jemand ne Idee oder vernünftige Suchbegriffe mit denen ich weiter machen kann? DNS Stress Test, DNS Benchmark ... aber komme nicht weiter.
Grüße, Henere, der Nachtbastler.
ich habe gerade auf 2 Servern teils extrem verzögerte Antworten auf DNS-Requests für externe hosts.
Es betrifft 2016 wie auch 2012.
Beide lösen manche hosts (nicht reproduzierbar) nur sehr langsam auf (mitgezählt bis zu 5 Sekunden).
Es sind auf beiden keine Weiterleitungen aktiviert, beide hängen an unterschiedlichen Internetzugängen. 1x VDSL 100/40 und 1x dt Glasfaser 200/sym
Die DNS-Protokollierung bringt mich nicht weiter.
Auf der Suche nach einem Benchmarktool findet man alles was der Ottonormalverbraucher braucht um seinen DNS-Eintrag im PC zu "tunen". Aber nix was ich mal auf einen lokalen DNS loslassen kann um dem mal einige Zeit Stress zu machen und Antwortzeiten übersichtlich aufgezeigt bekomme.
DNSBlast habe ich gefunden, aber keine binary für Windows. Würde so etwas in der Art gerne direkt auf den Servern laufen lassen um zu schauen wo der Engpass ist.
Wireshark würde ich mir gerne noch ne Weile ersparen.
Jemand ne Idee oder vernünftige Suchbegriffe mit denen ich weiter machen kann? DNS Stress Test, DNS Benchmark ... aber komme nicht weiter.
Grüße, Henere, der Nachtbastler.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 375409
Url: https://administrator.de/contentid/375409
Printed on: April 25, 2024 at 09:04 o'clock
14 Comments
Latest comment
Nachtrag: Mit DNSBlast kann man durchaus eine Fritte dazu bringen, die Internetverbindung neu aufzubauen 
Kann aber auch Zufall gewesen sein, habe ich nur 2x im Test hinbekommen, danach nicht mehr.
Hat das schon mal jemand getestet ? Das Teil zeigt mir an, dass nur 5% der Requests beantwortet werden. Allerdings würfelt es auch die Hostnamen zum abfragen aus. Von daher gehe ich davon aus, dass das normales Verhalten ist.
Hilft mir aber alles nicht weiter.
Kann aber auch Zufall gewesen sein, habe ich nur 2x im Test hinbekommen, danach nicht mehr.
Hat das schon mal jemand getestet ? Das Teil zeigt mir an, dass nur 5% der Requests beantwortet werden. Allerdings würfelt es auch die Hostnamen zum abfragen aus. Von daher gehe ich davon aus, dass das normales Verhalten ist.
Hilft mir aber alles nicht weiter.
Zitat von @Henere:
Es sind auf beiden keine Weiterleitungen aktiviert, beide hängen an unterschiedlichen Internetzugängen.
Es sind auf beiden keine Weiterleitungen aktiviert, beide hängen an unterschiedlichen Internetzugängen.
Moin,
aber die Default Weiterleitungen (zum DNS vom Anbieter oder ä.) hast Du aber schon drin?
Cache mal gelöscht.
BP durchgeführt?
Gruss
Moin,
Warum nicht? Warum müssen Deine DNS-Server die ganze Arbeit alleine machen? Das führt dazu, dass bei vollkommen unbekannten symbolischen Namen der Server bei der Root-Domain anfängt und sich laaaaaaaaangsam zum zuständigen Server durch das DNS hangelt. Sehr schön erklärt ist das hier: http://netplanet.org/adressierung/dns.shtml.
Ich würde mal auf ein paar zuverlässige DNS-Server außerhalb weiterleiten. Das wird das Problem wahrscheinlich beheben.
hth
Erik
Zitat von @Henere:
Es sind auf beiden keine Weiterleitungen aktiviert, beide hängen an unterschiedlichen Internetzugängen. 1x VDSL 100/40 und 1x dt Glasfaser 200/sym
Es sind auf beiden keine Weiterleitungen aktiviert, beide hängen an unterschiedlichen Internetzugängen. 1x VDSL 100/40 und 1x dt Glasfaser 200/sym
Warum nicht? Warum müssen Deine DNS-Server die ganze Arbeit alleine machen? Das führt dazu, dass bei vollkommen unbekannten symbolischen Namen der Server bei der Root-Domain anfängt und sich laaaaaaaaangsam zum zuständigen Server durch das DNS hangelt. Sehr schön erklärt ist das hier: http://netplanet.org/adressierung/dns.shtml.
Ich würde mal auf ein paar zuverlässige DNS-Server außerhalb weiterleiten. Das wird das Problem wahrscheinlich beheben.
hth
Erik
Hallo,
nein, hat er offenbar nicht und das wird wohl auch die schlechte Performance erklären.
Wer ferne DNS-Server sehen möchte, der sollte eher ein Flugzeug als eine Datenleitung bemühen. Just my 2C.
Gruß,
Jörg
nein, hat er offenbar nicht und das wird wohl auch die schlechte Performance erklären.
Wer ferne DNS-Server sehen möchte, der sollte eher ein Flugzeug als eine Datenleitung bemühen. Just my 2C.
Gruß,
Jörg
Servus.
Es ist vollkommen wurscht, auch wenn ich eine Weiterleitung auf einen Provider-DNS mache, dann hangelt der sich halt durch und durch.
Die zwischengespeicherten Zonen beinhalten ja unter anderem die NS der DENIC, somit muss er sich für ne .de Abfrage nicht durch die ganze Welt hangeln.
Es ging ja vorher jahrelang ohne Probleme. Nur beim surfen tritt es auf (Chrome, FF, Edge und IE getestet). Keine Proxy-Autoconfig, kein Proxy. Daher tippe ich auf ein Problem im Client. Aber WO ? Es tritt bei allen Clients hinter diesen beiden DNS auf. Brauser ist auch egal.
Ein nslookup oder ping spuckt in sekundenbruchteilen die Antwort aus. Auch bei hosts oder tlds die der DNS noch nie gesehen hat bzw nach frisch geleertem Cache auf Client und Serverseite.
Clients sind W7, W10 als 1709 und 1803.
Wo kann ich weiter ansetzen ?
Henere
Es ist vollkommen wurscht, auch wenn ich eine Weiterleitung auf einen Provider-DNS mache, dann hangelt der sich halt durch und durch.
Die zwischengespeicherten Zonen beinhalten ja unter anderem die NS der DENIC, somit muss er sich für ne .de Abfrage nicht durch die ganze Welt hangeln.
Es ging ja vorher jahrelang ohne Probleme. Nur beim surfen tritt es auf (Chrome, FF, Edge und IE getestet). Keine Proxy-Autoconfig, kein Proxy. Daher tippe ich auf ein Problem im Client. Aber WO ? Es tritt bei allen Clients hinter diesen beiden DNS auf. Brauser ist auch egal.
Ein nslookup oder ping spuckt in sekundenbruchteilen die Antwort aus. Auch bei hosts oder tlds die der DNS noch nie gesehen hat bzw nach frisch geleertem Cache auf Client und Serverseite.
Clients sind W7, W10 als 1709 und 1803.
Wo kann ich weiter ansetzen ?
Henere
Wo kann ich weiter ansetzen ?
IPv6, ist das nämlich an der Fritte aktiv verteilt sie sich selbst als DNS Server per NDP und wie man weiß wird IPv6 am Client bevorzugt. Das führt dann dazu das der Client als erstes bei der Fritte anfragt, das läuft dann in einen Timeout und erst dann nimmt sich der Client die IPv4 deines internen DNS Servers zur Brust.Also die DNS Distribution für IPv6 an der Fritte deaktivieren und/oder deinen DNS per IPv6 ins Netz einbinden und per DHCPv6 distibuieren oder die where nicht zu empfehlen: IPv6 zu deaktivieren.
Moin,
installiere dig und poste mal eine Ausgabe des Tools. Vorher bitte den DNS-Cache des Clients löschen.
Zum Vergleich kannst Du ja auch mal eine langsame Auflösung dann nochmal durch einen externen DNS-Server auflösen lassen.
Liebe Grüße
Erik
installiere dig und poste mal eine Ausgabe des Tools. Vorher bitte den DNS-Cache des Clients löschen.
Zum Vergleich kannst Du ja auch mal eine langsame Auflösung dann nochmal durch einen externen DNS-Server auflösen lassen.
Liebe Grüße
Erik
IPv6 ist auf der Fritte deaktiviert. Am 2ten Zugang ist ein Zyxel. Spricht auch kein v6.
Das kann ich ausschliessen.
Grüße, Henere
Das kann ich ausschliessen.
Grüße, Henere
Gerne, wenn ich das unter WIN zum laufen bringen würde..... 
Kann das sein, wegen der v6 Antwort ? Dass der Client es erst verwirft und dann mit der v4 Adresse wieder versucht ? Ok, hier muss ich wohl oder über schnüffeln am Kabel
Google mich schon wund, wahrscheinlich werfe ich wieder die falschen Suchwörter rein. Kann man dem Windows-DNS sagen, dass er nur noch v4 Antworten geben soll ?
Grüße, Henere
C:\>dig -4 www.avm.de
; <<>> DiG 9.12.1-P2 <<>> -4 www.avm.de
;; global options: +cmd
;; connection timed out; no servers could be reached
C:\>dig www.avm.de
; <<>> DiG 9.12.1-P2 <<>> www.avm.de
;; global options: +cmd
;; connection timed out; no servers could be reached
C:\>nslookup www.avm.de
Server: hierstehtdernamemeinesinternenservers.de
Address: 192.168.200.1
Nicht autorisierende Antwort:
Name: www.avm.de
Addresses: 2001:bf0:244:244::122
212.42.244.122Kann das sein, wegen der v6 Antwort ? Dass der Client es erst verwirft und dann mit der v4 Adresse wieder versucht ? Ok, hier muss ich wohl oder über schnüffeln am Kabel
Google mich schon wund, wahrscheinlich werfe ich wieder die falschen Suchwörter rein. Kann man dem Windows-DNS sagen, dass er nur noch v4 Antworten geben soll ?
Grüße, Henere
IPv6 am Client mal testweise deaktivieren. Zeig mal von einem Client "ipconfig /all".
Schnell den Kabelhai angeschmissen und du hättest sofort Gewissheit... Aber nee mal wieder nur im Dunkeln stochern ... scheint mir bei den meisten hier wohl ein Hobby zu sein, Koppschüttel.
Schnell den Kabelhai angeschmissen und du hättest sofort Gewissheit... Aber nee mal wieder nur im Dunkeln stochern ... scheint mir bei den meisten hier wohl ein Hobby zu sein
, Koppschüttel.
IPv6 habe ich weder auf dem Server noch auf dem Client aktiv. Dennoch bekomme ich eine v6 und v4 Adresse zurück. Siehe den output von NSLookup.
Client Windows:
Hier mal der Output von nem Linuxhobel, der nur v4 spricht: avm.de hat der DNS aus dem Cache, zonk.de hat er aus dem Netz geholt.
Mache ich das von ner Winbüchse:
Alle Rechner nutzen hier bei mir den 192.168.200.1 (.2 wartet auf ne neue HDD) als DNS.
Wie kann man verhindern, daß der DNS v6 Adressen überhaupt an die Clients ausgibt ?
Henere
Client Windows:
C:\>ipconfig /all
Windows-IP-Konfiguration
Hostname . . . . . . . . . . . . : WKS-Henner
Primäres DNS-Suffix . . . . . . . : meinedomain.de
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : meinedomain.de
Ethernet-Adapter Ethernet:
Verbindungsspezifisches DNS-Suffix: meinedomain.de
Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller
Physische Adresse . . . . . . . . : 74-D0-2B-90-AD-D0
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 192.168.200.100(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Donnerstag, 31. Mai 2018 22:02:46
Lease läuft ab. . . . . . . . . . : Donnerstag, 31. Mai 2018 23:02:46
Standardgateway . . . . . . . . . : 192.168.200.250
DHCP-Server . . . . . . . . . . . : 192.168.200.1
DNS-Server . . . . . . . . . . . : 192.168.200.1
192.168.200.2
NetBIOS über TCP/IP . . . . . . . : AktiviertHier mal der Output von nem Linuxhobel, der nur v4 spricht: avm.de hat der DNS aus dem Cache, zonk.de hat er aus dem Netz geholt.
root@s-v-mx02:~# dig www.avm.de
; <<>> DiG 9.10.3-P4-Ubuntu <<>> www.avm.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54039
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;www.avm.de. IN A
;; ANSWER SECTION:
www.avm.de. 1828 IN A 212.42.244.122
;; Query time: 0 msec
;; SERVER: 192.168.200.1#53(192.168.200.1)
;; WHEN: Thu May 31 22:53:26 CEST 2018
;; MSG SIZE rcvd: 55
root@s-v-mx02:~# dig www.zonk.de
; <<>> DiG 9.10.3-P4-Ubuntu <<>> www.zonk.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17671
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;www.zonk.de. IN A
;; ANSWER SECTION:
www.zonk.de. 150 IN CNAME zonk.de.
zonk.de. 150 IN A 81.169.145.95
;; Query time: 90 msec
;; SERVER: 192.168.200.1#53(192.168.200.1)
;; WHEN: Thu May 31 22:53:36 CEST 2018
;; MSG SIZE rcvd: 70Mache ich das von ner Winbüchse:
C:\>nslookup www.zonk.de
Server: UnKnown
Address: 192.168.200.1
Nicht autorisierende Antwort:
Name: zonk.de
Addresses: 2a01:238:20a:202:1095::
81.169.145.95
Aliases: www.zonk.deAlle Rechner nutzen hier bei mir den 192.168.200.1 (.2 wartet auf ne neue HDD) als DNS.
Wie kann man verhindern, daß der DNS v6 Adressen überhaupt an die Clients ausgibt ?
Henere
Wie kann man verhindern, daß der DNS v6 Adressen überhaupt an die Clients ausgibt ?
Das ist normal und keine Fehlfunktion, Windows nimmt wenn nur v4 aktiv ist auch nur A Records und keine AAAA, es listet per Default einfach nur alle auf.Schmeiss den Kabelhai an und fertig ist die Kiste, oder habt ihr zwei etwa ein gespaltenes Verhältnis
?
WIreshark läuft jetzt. ich filtere: port 53 or port 80 or port 443
Dort sehe ICH keine Auffälligkeiten. Eventuell jemand anders ?
Aktuell treten die Verzögerungen nicht auf. Es ist ja nur sporadisch, und nicht auf gewisse Webseiten oder Tageszeiten oder Clients zutreffend.
Ich kann gerne mal den wireshark auszug irgendwo hochladen, aber wie gesagt, kann es derzeit nicht nachstellen.
Würde ich es mit dem o.g. Filter zu sehen sein, wenn der Client erst mit v6 versucht, obwohl es auf der NIC deaktivert (nur der Haken nicht gesetzt) ist ?
Henere
Dort sehe ICH keine Auffälligkeiten. Eventuell jemand anders ?
Aktuell treten die Verzögerungen nicht auf. Es ist ja nur sporadisch, und nicht auf gewisse Webseiten oder Tageszeiten oder Clients zutreffend.
Ich kann gerne mal den wireshark auszug irgendwo hochladen, aber wie gesagt, kann es derzeit nicht nachstellen.
Würde ich es mit dem o.g. Filter zu sehen sein, wenn der Client erst mit v6 versucht, obwohl es auf der NIC deaktivert (nur der Haken nicht gesetzt) ist ?
Henere
Japp. Trotzdem rate ich zur Verwendung eines Forwarders!! Die Roots sollte man aus gutem Grund nicht benutzen, die sind ab und zu überlastet und genau aus diesen Gründen sollte man als Otto-Normaluser niemals die Root-Server verwenden. Außerdem behandeln diese Anfragen die nicht von bekannten DNS Servern kommen mit minderer Priorität und es kommt genau zu den Verzögerungen die du ab und zu siehst, deshalb wundert es mich nicht wirklich!
