ADC

Configurer la mise en cache négative des enregistrements DNS

L’appliance NetScaler prend en charge la mise en cache des réponses négatives pour un domaine. Une réponse négative indique que les informations concernant un domaine demandé n’existent pas ou que le serveur ne peut pas fournir de réponse à la requête. Le stockage de ces informations est appelé mise en cache négative. La mise en cache négative permet d’accélérer les réponses aux requêtes concernant un domaine.

Remarque :

La mise en cache négative n’est prise en charge que lorsque le serveur principal est configuré en tant que serveur DNS (ADNS) faisant autorité pour le domaine interrogé.

Une réponse négative peut être l’une des suivantes :

  • Message d’erreur NXDOMAIN — Les serveurs DNS faisant autorité répondent par le message d’erreur NXDOMAIN lorsque aucun enregistrement n’est configuré sur le serveur pour le nom de domaine demandé. Ce message implique que le domaine demandé est un nom de domaine non valide ou inexistant.
  • Message d’erreur NODATA : si le nom de domaine indiqué dans la requête est valide mais que les enregistrements du type indiqué ne sont pas disponibles, l’appliance envoie un message d’erreur NODATA.

Lorsque la mise en cache négative est activée, l’appliance met en cache la réponse négative du serveur DNS et traite les demandes futures uniquement à partir du cache. Cette action permet d’accélérer les réponses aux requêtes et de réduire le trafic DNS principal. La mise en cache négative peut être utilisée dans tous les déploiements, c’est-à-dire lorsqu’une appliance NetScaler fait office de proxy, de résolveur final ou de redirecteur.

Vous pouvez activer ou désactiver la mise en cache négative à l’aide d’un profil DNS. Pour plus d’informations, voir Profils DNS. Par défaut, la mise en cache négative est activée dans le profil DNS par défaut (default-dns-profile) qui sont liés par défaut à un serveur virtuel DNS ou dans le profil DNS nouvellement créé.

Activer ou désactiver la mise en cache négative à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour activer ou désactiver la mise en cache négative et vérifier la configuration :

-  add dns profile <dnsProfileName> [-cacheRecords ( ENABLED | DISABLED )] [-cacheNegativeResponses (ENABLED | DISABLED )]
-  show dns profile [<dnsProfileName>]
<!--NeedCopy-->

Exemple de profil DNS par défaut :

> sh dns profile default-dns-profile
    1)   default-dns-profile
        Query logging : DISABLED        Answer section logging : DISABLED
        Extended logging : DISABLED     Error logging : DISABLED
        Cache Records : ENABLED     Cache Negative Responses: ENABLED
Done
<!--NeedCopy-->

Exemple de profil DNS récemment créé :

> add dnsprofile dns_profile1 -cacheRecords ENABLED -cacheNegativeResponses ENABLED
Done
> show dns profile dns_profile1
    1)   dns_profile1
        Query logging : DISABLED        Answer section logging : DISABLED
        Extended logging : DISABLED     Error logging : DISABLED
        Cache Records : ENABLED     Cache Negative Responses: ENABLED
Done
<!--NeedCopy-->

Spécifiez les paramètres DNS au niveau du service ou du serveur virtuel à l’aide de l’interface de ligne de commande

À l’invite de commandes, effectuez les opérations suivantes :

  1. Configurez le profil DNS.

    add dns profile <dnsProfileName> [-cacheRecords ( ENABLED | DISABLED )] [-cacheNegativeResponses (ENABLED | DISABLED )]

  2. Liez le profil DNS au service ou au serveur virtuel.

    Pour lier le profil DNS au service :

    set service <name> [-dnsProfileName <string>]

Exemple :

>set service service1 -dnsProfileName dns_profile1
Done
<!--NeedCopy-->

Pour lier le profil DNS au serveur virtuel :

set lb vserver <name> [-dnsProfileName <string>]

Exemple :

>set lb vserver lbvserver1 -dnsProfileName dns_profile1
Done
<!--NeedCopy-->

Spécifiez les paramètres DNS au niveau du service ou du serveur virtuel à l’aide de l’interface graphique

  1. Configurez le profil HTTP.

    Accédez à Système > Profils> Profil DNS, puis créez le profil DNS.

  2. Liez le profil HTTP au service ou au serveur virtuel.

    Accédez à Gestion du trafic > Équilibrage de charge> Services/Serveurs virtuels, puis créez le profil DNS qui doit être lié au service ou au serveur virtuel.

Limitation du débit : réponse négative fournie par l’appliance

Vous pouvez définir un seuil pour les réponses négatives envoyées par l’appliance NetScaler à partir du cache. Lorsque le seuil est défini, l’appliance transmet la réponse depuis le cache jusqu’à ce que le seuil soit atteint. Une fois le seuil atteint, l’appliance abandonne les demandes au lieu de répondre par une réponse NXDOMAIN.

La définition d’une limite de taux pour les réponses négatives présente les avantages suivants.

  • Enregistrez les ressources sur l’appliance NetScaler.
  • Empêchez toute requête malveillante concernant des noms de domaine inexistants.

Remarque : Vous pouvez définir un seuil pour les réponses négatives uniquement pour les domaines pour lesquels l’appliance ADC est configurée en tant que serveur de noms de domaine faisant autorité. Vous ne pouvez pas définir de seuil pour les enregistrements mis en cache provenant des serveurs de noms principaux faisant autorité.

Limitation du débit de réponses négatives fournies par le cache à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez

set dns parameter -NXDOMainRateLimitThreshold <positive-integer>
<!--NeedCopy-->

Exemple :

set dns parameter -NXDOMainRateLimitThreshold 1000
<!--NeedCopy-->

NxDomainRateLimitThreshold : lorsque ce paramètre est défini sur une valeur entière positive, les réponses sont servies depuis le cache jusqu’à ce que ce seuil (en secondes) soit atteint. Une fois le seuil dépassé, les demandes sont abandonnées. Le seuil configuré est par moteur de paquets.

Limitation du débit de réponses négatives fournies par le cache à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > DNS et cliquez sur Modifier les paramètres DNS.
  2. Sur la page Configurer les paramètres DNS, dans le champ NXDOMAIN Rate Limit Threshold, entrez la valeur seuil jusqu’à laquelle les réponses doivent être transmises depuis le cache.

Remarque : La valeur du seuil de NXDOMAIN Croisé affiche le nombre de fois où les demandes sont supprimées une fois le seuil atteint.