ADC

Konfigurieren des negativen Caching von DNS-Datensätzen

Die NetScaler-Appliance unterstützt das Zwischenspeichern negativer Antworten für eine Domain. Eine negative Antwort weist darauf hin, dass Informationen zu einer angeforderten Domäne nicht existieren oder dass der Server keine Antwort auf die Abfrage geben kann. Die Speicherung dieser Informationen wird als negatives Caching bezeichnet. Negatives Caching hilft dabei, Antworten auf Anfragen zu einer Domain zu beschleunigen.

Hinweis:

Negatives Caching wird nur unterstützt, wenn der Backend-Server als autorisierender DNS-Server (ADNS) für die abgefragte Domain konfiguriert ist.

Eine negative Reaktion kann eine der folgenden sein:

  • NXDOMAIN-Fehlermeldung — Die autoritativen DNS-Server antworten mit der NXDOMAIN-Fehlermeldung, wenn für den abgefragten Domainnamen keine Datensätze auf dem Server konfiguriert sind. Diese Meldung impliziert, dass es sich bei der abgefragten Domain um einen ungültigen oder nicht existierenden Domainnamen handelt.
  • NODATA-Fehlermeldung — Wenn der Domainname in der Abfrage gültig ist, aber Datensätze des angegebenen Typs nicht verfügbar sind, sendet die Appliance eine NODATA-Fehlermeldung.

Wenn negatives Caching aktiviert ist, speichert die Appliance die negative Antwort vom DNS-Server im Cache und verarbeitet nur die zukünftigen Anfragen aus dem Cache. Diese Aktion beschleunigt die Beantwortung von Abfragen und reduziert auch den Back-End-DNS-Verkehr. Negatives Caching kann in allen Bereitstellungen verwendet werden, d. h. wenn eine NetScaler Appliance als Proxy, Endresolver oder Weiterleitung fungiert.

Sie können negatives Caching mit einem DNS-Profil aktivieren oder deaktivieren, weitere Informationen finden Sie unter DNS-Profile. Standardmäßig ist das negative Zwischenspeichern im Standard-DNS-Profil (default-dns-profile) aktiviert, das standardmäßig an einen virtuellen DNS-Server oder im neu erstellten DNS-Profil gebunden ist.

Aktivieren oder deaktivieren Sie negatives Caching mithilfe der CLI

Geben Sie an der Befehlszeile die folgenden Befehle ein, um das negative Caching zu aktivieren oder zu deaktivieren und die Konfiguration zu überprüfen:

-  add dns profile <dnsProfileName> [-cacheRecords ( ENABLED | DISABLED )] [-cacheNegativeResponses (ENABLED | DISABLED )]
-  show dns profile [<dnsProfileName>]
<!--NeedCopy-->

Beispiel für ein Standard-DNS-Profil:

> sh dns profile default-dns-profile
    1)   default-dns-profile
        Query logging : DISABLED        Answer section logging : DISABLED
        Extended logging : DISABLED     Error logging : DISABLED
        Cache Records : ENABLED     Cache Negative Responses: ENABLED
Done
<!--NeedCopy-->

Beispiel für ein neu erstelltes DNS-Profil:

> add dnsprofile dns_profile1 -cacheRecords ENABLED -cacheNegativeResponses ENABLED
Done
> show dns profile dns_profile1
    1)   dns_profile1
        Query logging : DISABLED        Answer section logging : DISABLED
        Extended logging : DISABLED     Error logging : DISABLED
        Cache Records : ENABLED     Cache Negative Responses: ENABLED
Done
<!--NeedCopy-->

Geben Sie DNS-Parameter auf Dienst- oder virtueller Serverebene mithilfe der CLI an

Führen Sie an der Eingabeaufforderung folgende Schritte aus:

  1. Konfigurieren Sie das DNS-Profil.

    add dns profile <dnsProfileName> [-cacheRecords ( ENABLED | DISABLED )] [-cacheNegativeResponses (ENABLED | DISABLED )]

  2. Binden Sie das DNS-Profil an den Dienst oder den virtuellen Server.

    Um das DNS-Profil an den Dienst zu binden:

    set service <name> [-dnsProfileName <string>]

Beispiel:

>set service service1 -dnsProfileName dns_profile1
Done
<!--NeedCopy-->

Um das DNS-Profil an den virtuellen Server zu binden:

set lb vserver <name> [-dnsProfileName <string>]

Beispiel:

>set lb vserver lbvserver1 -dnsProfileName dns_profile1
Done
<!--NeedCopy-->

Geben Sie DNS-Parameter auf Service- oder virtueller Serverebene mithilfe der GUI an

  1. Konfigurieren Sie das HTTP-Profil.

    Navigieren Sie zu System > Profile> DNS-Profilund erstellen Sie das DNS-Profil.

  2. Binden Sie das HTTP-Profil an den Dienst oder den virtuellen Server.

    Navigieren Sie zu Traffic Management > Load Balancing> Dienste/Virtuelle Serverund erstellen Sie das DNS-Profil, das an den Dienst oder den virtuellen Server gebunden sein muss.

Geschwindigkeitsbegrenzende negative Reaktion, die das Gerät ausgibt

Sie können einen Schwellenwert für negative Antworten festlegen, die von der NetScaler-Appliance aus dem Cache bereitgestellt werden. Wenn der Schwellenwert festgelegt ist, sendet die Appliance die Antwort aus dem Cache, bis der Schwellenwert erreicht ist. Sobald der Schwellenwert erreicht ist, verwirft die Appliance die Anfragen, anstatt mit einer NXDOMAIN-Antwort zu antworten.

Die Festlegung einer Ratenbegrenzung für negative Antworten hat die folgenden Vorteile.

  • Sparen Sie die Ressourcen auf der NetScaler-Appliance.
  • Beugen Sie böswilligen Abfragen für nicht existierende Domainnamen vor.

Hinweis: Sie können einen Schwellenwert für negative Antworten nur für die Domänen festlegen, für die die ADC-Appliance als autorisierender Domainnamenserver konfiguriert ist. Sie können keinen Schwellenwert für zwischengespeicherte Datensätze festlegen, die von den autorisierenden Back-End-Nameservern empfangen werden.

Geschwindigkeitsbegrenzung negativer Antworten, die vom Cache mithilfe der CLI bereitgestellt werden

Geben Sie an der Eingabeaufforderung

set dns parameter -NXDOMainRateLimitThreshold <positive-integer>
<!--NeedCopy-->

Beispiel:

set dns parameter -NXDOMainRateLimitThreshold 1000
<!--NeedCopy-->

nxDomainRateLimitThreshold: Wenn dieser Parameter auf einen positiven Ganzzahlwert gesetzt ist, werden Antworten aus dem Cache bereitgestellt, bis dieser Schwellenwert (in Sekunden) erreicht ist. Sobald der Schwellenwert überschritten wird, werden die Anfragen verworfen. Der konfigurierte Schwellenwert gilt pro Paket-Engine.

Ratenbegrenzung der negativen Antwort, die vom Cache mithilfe der GUI ausgegeben wird

  1. Navigieren Sie zu Traffic Management > DNS und klicken Sie auf DNS-Einstellungen ändern.
  2. Geben Sie auf der Seite DNS-Parameter konfigurieren in das Feld NXDOMAIN Rate Limit Threshold den Schwellenwert ein, bis zu dem die Antworten aus dem Cache bereitgestellt werden müssen.

Hinweis: Der Wert im NXDOMAIN Threshold Crossed zeigt an, wie oft die Anforderungen gelöscht werden, nachdem der Schwellenwert erreicht wurde.