Debian Strechs PowerDNS 4.0 und die EDNS-Compliance für den DNS flag day

Wenn du PowerDNS Authoritative Server 4.0 (wird mit Debian Stretch ausgeliefert) einsetzt und dich über Fehlermeldungen von der DNS flag day-Testwebseite ärgerst: Hier ist, wie man die gemeldeten Probleme weg bekommt :-)

Ein kurzer Satz über PowerDNS und die ISC-Webseite

Das ISC schreibt in seinem Blog, dass PowerDNS Authoritative Server ab Version 4.1 voll EDNS compliant sei.
Version 4.0 kann in "corner cases" zu Warnungen führen, die in der Praxis aber nicht problematisch wären:

PowerDNS recursor 4.2 (to be released soon) will be the first one to no longer accommodate non-compliance.
On the authoritative side, PowerDNS 4.1 is fully compliant; 4.0 has some corner cases that ednscomp notices but that are not a problem in practice – disabling caching removes those edge cases.

Schnelle Problemlösung: PacketCache abschalten

Mit der Standardkonfiguration nutzt PowerDNS den PacketCache, der die Performance in einigen Fällen etwas steigert - vor allen Dingen, wenn immer identische Anfragen gestellt werden.
Genau da liegt das Problem und an dieser Stelle bricht es dann auch mit der EDNS compliance. Wenn du ein halbwegs flottes Backend hast und der Server nicht gerade mit Anfragen geflutet wird, kannst du den PacketCache auch ausschalten. Standardmäßig wird (wenn nicht explizit anders konfiguriert) der PacketCache auf eine TTL von 20 Sekunden konfiguriert.

Um das zu ändern füge folgende Direktive in deine pdns.conf-Datei ein resp. ersetze sie:

cache-ttl=0

Ja, das war es schon! Jetzt noch den pdns-Dienst neu laden, damit die Änderungen angewendet werden und die Warnungen des ISC-Test-Tools sollten verschwinden!
(Quelle: PowerDNS mailing list)

Wie das halt so ist, wenn man einen Cache aktiviert, hat das normalerweise immer Auswirkungen auf die Performance.
Ich persönlich habe keine messabaren Unterschiede festgestellt – wenn du aber einen Server mit hoher Last und/oder sehr langsamen Backend hast, sind die Auswirkungen möglicherweise deutlich spürbar.
In diesem Fall solltest du den Cache vielleicht lieber wieder einschalten. Das ISC schreibt ja auch selbst, dass die ermittelten Probleme in der Realität eher keine sind und keine Auswirkungen auf die Namensauflösung am DNS flag day haben werden.
Alternativ könntest du auch versuchen, auf Version >= 4.1 von PowerDNS zu wechseln (die haben eigene Repositories) und das Problem damit zu lösen.

Fragen? Anregungen? Kritik?

In Ermangelung einer öffentlichen Kommentierfunktion nehme ich Kritik, Fragen oder Anregungen gerne per E-Mail entgegen: feedback+the-daily@maxderdepp.de :-)