Hello,
 
J'ai une série de serveurs bind dont certains ont un comportement étrange, ils n'arrivent pas à résoudre certains domaines alors que les autres n'ont aucun souci.
 
Juste pour clarifier, voici mon architecture (juste les serveurs concernés par le problème) :
 
serveur "1" : maître forward et reverse pour mes domaines, récursion interdite à tous sauf localhost (il ne peut pas être utilisé comme resolveur autrement que par lui-même)
 
serveur "2", "3" et "4" : esclaves forward et reverse pour mes domaines, récursion ouverte à tous, résolveurs officiels, ils ont tous trois la même configuration et les mêmes autorisations d'accès (à priori mais vu le bronx qu'est le réseau ici, je ne garantis pas qu'il ne faille pas chercher de ce côté même si je n'ai rien trouvé à priori...).
 
serveur "5" : serveur cache, utilise "2" et "3" comme résolveurs.
 
 
J'essaie de résoudre les domaines x.fr et y.fr. (j'ai remplacé les noms réels pour préserver l'anonymat   )
 
Le serveur "1" résout x.fr, y.fr, www.x.fr et www.y.fr sans problème mais bien entendu seulement en l'interrogeant en local.
 
Les serveur "3" et "5" n'ont aucun problème pour résoudre x.fr, y.fr, www.x.fr et www.y.fr peu importe d'où on les interroge.
 
Les serveurs "2" et "4" plantent :
 
$dig www.x.fr @"2"
 
; <<>> DiG 9.3.6-P1-RedHat-9.3.6-4.P1.el5_4.2 <<>> www.x.fr @"2"
;; global options:  printcmd
;; connection timed out; no servers could be reached
 
$ dig www.x.fr @"4"
 
; <<>> DiG 9.3.6-P1-RedHat-9.3.6-4.P1.el5_4.2 <<>> www.x.fr @"4"
;; global options:  printcmd
;; connection timed out; no servers could be reached
 
J'ai mis les résultats d'interrogation pour www.x.fr mais c'est pareil pour x.fr.
 
 
Je comprends pas pourquoi mes serveurs n'arrivent pas à trouver les serveurs à interroger pour www.x.fr et x.fr alors qu'ils n'ont aucun problème par ailleurs.
 
Le plus étrange c'est que je peux faire un telnet ns.x.fr depuis les serveurs "2" et "4" sur le port 53 sans problème (il y a un léger lag de connexion, 15 secondes, mais je pense pas que ça joue?), donc c'est pas un blocage réseau à priori (je me trompe?).
 
Encore plus étrange, si je fais un dig -x "ip-de-www.x.fr" @"2" il me répond bien... D'ailleurs, c'est là que je vois que x.fr est hébergé chez z.fr (ça commence à être compliqué pour rester simple...) et "2" et "4" n'ont aucun problème pour résoudre www.z.fr.
 
Bref, c'est un sacré paquet de spaghettis et, surtout, les serveurs "2" et "4" n'arrivent pas à résoudre certains domaines alors qu'apparemment rien ne devrait les en empêcher. Je suis à court d'idée pour essayer d'identifier ce qui pourrait causer ce problème. Toute aide dans ce sens serait la bienvenue    
 
a+
 

dig a une fonction de trace bien utile pour ce genre de problème (+trace)

Ca devrait te permettre de voir là où ca bloque.

Hello,
 
En effet, j'ai pas pensé au +trace de dig, merci de me le rappeler    
 
Alors là, ça devient carrément étrange : dig www.x.fr @"2" ne marche pas mais dig www.x.fr @"2" +trace marche...    
 
Avec +trace il passe bien par le fichier root.cache de "2" pour trouver les serveurs racine, qui lui donnent ensuite les serveurs pour fr. qui à leur tour lui donnent les serveurs pour x.fr. et qui à leur tour répondent bien pour www.x.fr. ...
 
Mais alors pourquoi sans l'option +trace ça marche pas?  

Parce que c'est dig qui fait tout le travail
 
Mais si tu le lances depuis "2", ça marche ?
si oui, problème au niveau de ton bind.
Si non, blocage réseau qui te sera indiqué par dig

Oui, depuis "2" avec +trace ça passe bien :
 
dig www.x.fr @"2" +trace
 
; <<>> DiG 9.3.6-P1-RedHat-9.3.6-4.P1.el5_4.2 <<>> www.x.fr @"2" +trace
;; global options:  printcmd
.                       508854  IN      NS      D.ROOT-SERVERS.NET.
.                       508854  IN      NS      E.ROOT-SERVERS.NET.
.                       508854  IN      NS      F.ROOT-SERVERS.NET.
.                       508854  IN      NS      G.ROOT-SERVERS.NET.
.                       508854  IN      NS      H.ROOT-SERVERS.NET.
.                       508854  IN      NS      I.ROOT-SERVERS.NET.
.                       508854  IN      NS      J.ROOT-SERVERS.NET.
.                       508854  IN      NS      K.ROOT-SERVERS.NET.
.                       508854  IN      NS      L.ROOT-SERVERS.NET.
.                       508854  IN      NS      M.ROOT-SERVERS.NET.
.                       508854  IN      NS      A.ROOT-SERVERS.NET.
.                       508854  IN      NS      B.ROOT-SERVERS.NET.
.                       508854  IN      NS      C.ROOT-SERVERS.NET.
;; Received 500 bytes from "2"#53("2" ) in 0 ms
 
fr.                     172800  IN      NS      F.EXT.NIC.fr.
fr.                     172800  IN      NS      A.NIC.fr.
fr.                     172800  IN      NS      B.EXT.NIC.fr.
fr.                     172800  IN      NS      D.EXT.NIC.fr.
fr.                     172800  IN      NS      C.NIC.fr.
fr.                     172800  IN      NS      G.EXT.NIC.fr.
fr.                     172800  IN      NS      D.NIC.fr.
fr.                     172800  IN      NS      E.EXT.NIC.fr.
;; Received 444 bytes from 128.8.10.90#53(D.ROOT-SERVERS.NET) in 118 ms
 
x.fr.     172800  IN      NS      ns1.x.fr.
x.fr.     172800  IN      NS      ns2.x.fr.
;; Received 108 bytes from 194.146.106.46#53(F.EXT.NIC.fr) in 9 ms
 
www.x.fr. 300     IN      A       xxx.xxx.xxx.xxx
x.fr.     300     IN      NS      ns2.x.fr.
x.fr.     300     IN      NS      ns1.x.fr.
;; Received 124 bytes from xxx.xxx.xxx.xxx#53(ns1.x.fr) in 0 ms
 
 
 
Bon, il doit y avoir un problème dans la configuration des serveurs qui m'a échappé...  
Va falloir que je creuse ça plus à fond. Merci pour les infos    
 
a+