If you would like to verify the result of a function call in Oracle SQL*Plus you could simply include it in a SQL select statement like this:
create or replace function testfunction(testparm IN number)
return number is
begin
return(testparm);
end testfunction;
SQL> select testfunction(123) from dual;
TESTFUNCTION(123)
-----------------
123
SQL>
Wer sich (wie ich) schon immer gefragt mal hat, was eigentlich genau das Problem mit dem freigiebigen Umgang mit persönlichen Daten ist, dem empfehle ich aktuell das Buch “Die Datenfresser” von Constanze Kurz und Frank Rieger:
Das Buch hat mir persönlich vor allem die Monetarisierung unserer Benutzerdaten (nicht nur im Internet) sehr anschaulich und gut verständlich erklärt. Womit/wie verdienen Google und Facebook eigentlich ihr Geld? Und was sind die Folgen für die Benutzer, die so freigiebig mit ihren persönlichen Daten umgehen?
Alle wichtigen Bereiche, in denen wir alltäglich unsere Daten preisgeben, werden abgedeckt: allen voran natürlich die ubiquitären soziale Netzwerke, Online-Buchhändler, aber auch (Offline-)Kundenkarten im Supermarkt u.a. Und auch die Daten, die wir preisgeben, ohne es zu merken, sind Thema: z.B. die Bewegungsdaten des eigenen Handys. Außerdem behandelt ein einzelnes Kapitel das (aktuelle) Thema Biometrie und die damit einhergehenden Sicherheitsprobleme.
Kurzum: das Buch bietet einen sehr guten und umfassenden Überblick über die Problematik des Datenschutzes und liefert auch Argumente gegen den alten Spruch: “Ich habe doch nichts zu verbergen”. Und nicht zuletzt die beiden fiktiven Geschichten über ein soziales Netzwerk für Haustiere und unseren (möglichen) komplett digitalisierten Alltag in nicht allzu ferner Zukunft lassen sich flüssig runterlesen.
Was meiner Meinung nach allerdings zu kurz kommt, ist das auch im Untertitel erwähnte “Zurückgewinnen der Kontrolle”. Bis auf wenige (recht offensichtliche) Tipps wie “einfach mal keine Daten angeben” enthält das im Verhältnis zu kurz geratene Kapitel zu diesem Thema wenig Nützliches.
Here’s a short PowerShell function to retrieve a list of a user’s groups from Active Directory:
function getADGroups($username)
{
$root = ([adsi]"").distinguishedName;
$searcher = new-object System.DirectoryServices.DirectorySearcher($root);
$searcher.filter = "(&(objectClass=user)(sAMAccountName=$username))";
$user = $searcher.findall();
$groupNames = @();
if ($user.count -eq 1)
{
$groups = $user[0].Properties.memberof;
[regex]$regex = "^CN=(.*?),";
$groups | % {
$groupNames += $regex.matches($_) | % { $_.groups[1].value }
};
}
else
{
write-host "invalid username, result count:" $user.count -foregroundcolor "red";
}
$groupNames;
}
getADGroups "macke" | % { $_ }
Here’s an example of a small refactoring I did today using LINQ’s features in C#. I had this method that simply constructs a WHERE clause for a SQL statement using an IList of table prefixes:
private string getWhereClauseForTablePrefixes(IList<String> tablePrefixes)
{
var where = "";
if (tablePrefixes.Count > 0)
{
where += " where ";
var enumerator = tablePrefixes.GetEnumerator();
enumerator.MoveNext();
while (true)
{
where += "table_name like '" + enumerator.Current + "%'";
if (enumerator.MoveNext())
{
where += " or ";
}
else
{
break;
}
}
}
return where;
}
So, e.g. for a list containing A and B the method returned where table_name like 'A%' or table_name like 'B%'. Using the Select extension method on IList, the method now looks like this:
private string getWhereClauseForTablePrefixes(IList<String> tablePrefixes)
{
var where = "";
if (tablePrefixes.Count > 0)
{
where += " where ";
where += String.Join(" OR ", tablePrefixes.Select(prefix => "table_name like '" + prefix + "%'"));
}
return where;
}
Simple and concise! 🙂
Heute habe ich meine erste Buchrezension bei Amazon geschrieben. Das war schon längst mal überfällig, aber das Buch, um das es geht, war es jetzt auch wirklich wert:
Die Kurzrezension könnte lauten: absolute Leseempfehlung für jeden (objektorientierten) Softwareentwickler 😀
Im Buch beschreibt Autor Bruce Tate sieben (völlig) unterschiedliche Programmiersprachen, die jeweils ein mehr oder weniger eigenes Konzept oder Programmierparadigma verwenden: von Ruby als OO-Sprache mit funktionalen Aspekten, über logische Programmierung mit Prolog bis hin zur reinen funktionalen Sprache Haskell ist alles dabei (wobei der Fokus auf den funktionalen Aspekten liegt). Hier kommt der Langtext meiner Rezension:
Ich habe das Buch, anders als der Autor vorschlägt, nicht gelesen und währenddessen die Programmierbeispiele praktisch ausprobiert (außer bei der ersten beschriebenen Sprache Ruby), sondern direkt runtergelesen, weil ich lediglich einen tieferen Einstieg in (aktuelle) Entwicklungen der verschiedenen Programmierparadigmen (Objektorientierung, funktional, logisch, Prototype) bekommen wollte, ohne diese praktisch anzuwenden. Und dafür ist das Buch wirklich super! Bruce Tate zeigt anhand von sinnvollen Praxisbeispielen mit sehr vielen Quelltextauszügen die Vor- und Nachteile der einzelnen Sprachen (Ruby, Io, Prolog, Scala, Erlang, Clojure und Haskell) auf und geht insbesondere auf die jeweiligen Vorzüge ein, die das Programmieren einfacher machen (syntactic sugar). Für alle, die die Sprachen auch in der Praxis ausprobieren wollen, liefert Tate nach jedem Kapitel Online-Quellen und Tipps für interessante Miniprojekte.
Dabei folgt er einem sehr sinnvollen Aufbau. Bei den ersten behandelten Sprachen werden allgemeingültige Konzepte von Programmiersprachen eingeführt und anhand von Beispielen erklärt (z.B. Pattern Matching, Rekursion, Closures, Futures) und bei den Sprachen im hinteren Teil des Buches wieder aufgegriffen und vertieft. Dabei streift Tate wirklich viele aktuelle Entwicklungen insbesondere aus dem Bereich der funktionalen Sprachen: 5 der 7 Sprachen sind entweder komplett oder in Teilen funktional. Ich kannte bislang von den vorgestellten Sprachen lediglich Prolog, sodass mir das Kapitel hierzu als kleine Auffrischung meiner Kenntnisse diente. Ich war überrascht, wie viele (hilfreiche) Konzepte es aus Prolog inzwischen in andere Programmiersprachen geschafft haben.
Für Anfänger ist das Buch wohl eher schwierig zu verstehen, da nicht lange gefackelt wird und viele grundlegende Kenntnisse vorausgesetzt werden. Für fortgeschrittene Programmierer, insbesondere aus dem Bereich der Objektorientierung, ist es jedoch ein super Buch, um einmal über den Tellerrand zu schauen. Gerade heutzutage, wo die funktionalen Sprachen immer wichtiger werden (aufgrund der guten Parallelisierbarkeit), sollte jeder Entwickler einen Blick riskieren und schauen, welche Konzepte er für seine eigene Arbeit übernehmen kann. Durch die Vielzahl an unterschiedlichen Sprachen wird das Buch definitiv nicht langweilig und man kann es richtig verschlingen.
In one of my current projects I have to import an Oracle database dump into a development database every two weeks. But more than once there were tables missing, columns have been changed, or indices have been removed in the new dump. Of course, that led to problems with the programs that used the database.
To be able to find the differences between the old and the new database I wrote a small C# program that “diffs” two databases. It generates a textfile containing
Furthermore, it compares two of these text files and produces an output file like this:
== Missing tables == TABLE1 == Added tables == TABLE2 = Less rows = TABLE3: 123 -> 100 = Equal number of rows = TABLE4: 17 -> 17 = More rows = TABLE5: 123 -> 234 == Missing indexes == TABLE3.COL1 == Added indexes == TABLE4.COL2 == Missing Columns == TABLE3.COL4 == Added Columns == TABLE3.COL5
So, before I import the new dump, I create a textfile with DBDiff that contains the current database state. After the import I create another one and compare it to the old file giving me all the changes to the database structure. Of course, the tool could also be used to compare a production database to a development database.
Here are two screenshot showing the tool in action:
You can download the program including its source code here:
All needed configuration (DSN, credentials etc.) is done in DBDiff.exe.config. The database needs to be configured and reachable as an ODBC source.
Vor 5 Tagen habe ich diesen Blog-Beitrag verfasst, der einem Kollegen von mir helfen soll, besser einschätzen zu können, wie schnell man bei Google zu bestimmten Suchbegriffen auf den vorderen Plätzen der Suchergebnisse landet: Test: Vergleich von Suchanfragen zur Privaten Krankenversicherung (PKV). Heute habe ich die gleichen Suchbegriffe noch einmal ausgewertet und komme zu folgendem Ergebnis (ein Klick auf die Bilder zeigt die ersten 50 Suchergebnisse an):
→ nicht unter den ersten 800 Treffern
→ nicht unter den ersten 1000 Treffern
→ nicht unter den ersten 800 Treffern
→ nicht unter den ersten 700 Treffern
Bei den generischen Suchbegriffen pkv und private krankenversicherung in Kombination mit vergleich und test schneide ich also nicht so gut ab. Das ist aber auch kein großes Wunder, da es enorm viele Websites gibt, die einfach viel mehr und besseren Content zu den Suchbegriffen bieten als mein kleiner Blog-Beitrag. Allein die vielen (Fake-?)Seiten, die die Suchbegriffe schon in ihrer Domain enthalten…
Anders sieht es aus, wenn man die generischen Suchbegriffe um den Ort (vechta) ergänzt:
→ auf Position 3
→ auf Position 17
Allerdings stellt sich die Frage, welcher potentieller Kunde danach sucht 🙂
Mit einigen weiteren Schlüsselwörtern habe ich es auch noch in Googles Index geschafft. Wenn man also gezielt Beiträge mit für bereits versicherte Kunden interessanten Begriffen erstellen würde, könnte man durchaus seine Zielgruppe erreichen:
Ein Kollege von mir schreibt gerade einen “Report” im Rahmen seiner Ausbildung zum Kaufmann für Versicherungen und Finanzen und setzt sich mit der Fragestellung auseinander, wie Unternehmen der privaten Krankenversicherung (PKV) (und dabei natürlich insb. unser Arbeitgeber, die ALTE OLDENBURGER AG) das Internet (besser) für den Kontakt zu potentiellen Kunden nutzen können.
In diesem Zusammenhang untersucht er, welche Möglichkeiten bestehen, um bei Suchmaschinen (insb. bei Google) mit generischen Schlüsselwörtern (wie z.B. pkv, private krankenversicherung oder private krankenversicherung vergleich) auf den vorderen Plätzen der Suchergebnisse zu landen. Unser Unternehmen ist zur Zeit über allgemeine Suchbegriffe wenn überhaupt nur auf den hinteren Rängen zu finden (unter den ersten 900 (!) Suchergebnissen zum Suchbegriff private krankenversicherung sind wir aktuell nicht vertreten) und das soll sich ändern 🙂 Gerade weil wir ein kleines Unternehmen sind, aber trotzdem (oder vielleicht gerade deswegen!?) regelmäßig sehr gute Bewertungen von renommierten Rating-Unternehmen wie Assekurata erhalten, bietet das Internet und hier auch gerade der Bereich Social Media ein gewaltiges (weil kostengünstiges) Potential um (Neu-)Kunden zu erreichen. Und nicht nur das: unseren neuen Studenten für das duale Studium Wirtschaftsinformatik haben wir z.B. über meinen Blog-Beitrag zu dem Thema gefunden. Kein Wunder, da die entsprechende Suchanfrage (duales studium vechta) nicht etwa die entsprechende Seite unseres Unternehmens als Treffer liefert, sondern dieses Blog 🙂
Um meinen Kollegen beim praktischen Teil seiner Arbeit zu unterstützen, habe ich nun diesen Blog-Artikel angelegt, der zugepflastert ist mit Schlüsselwörtern zum Thema PKV. Ich warte nun einfach ein paar Tage ab und kontrolliere, ob ich mit diesem Beitrag in die Suchergebnisse bei Google komme oder nicht. Allgemein indexiert Google dieses Blog recht schnell (dank Pingbacks und der Google Webmaster-Tools) und WordPress ist eine sehr “suchmaschinenfreundliche” Blog-Software, sodass ich vielleicht eine geringe Chance habe, unter die ersten 50(0) Treffer zu kommen.
Viele Tipps zur Suchmaschinenoptimierung (SEO) kenne ich bereits und das Wichtigste ist wie so oft der Inhalt der Website: content is king. Durch informative, interessante, ansprechend geschriebene Artikel (z.B. über die private Krankenversicherung, die allgemeine Entwicklung im deutschen Gesundheitswesen oder die ganz konkreten Probleme und Fragen der versicherten Personen zu Themen wie Beitragsrückerstattung, Alterungsrückstellung, Übertragungswert usw.) kann ein Unternehmen Besucher auf seine Website leiten und sie auch dort halten oder sie gar dazu bringen, selbst “Werbung” (z.B. bei Twitter, Facebook usw.) für den Inhalt (und damit indirekt für das Unternehmen) zu machen. Stichwort: Virales Marketing.
Das wichtigste Kriterium für den erfolgreichen Einsatz des Internets und von Social Media ist allerdings eine authentische, offene Kommunikation mit den (potentiellen) Kunden. Alles andere kann sehr schnell ins Gegenteil umschlagen, wie inzwischen viele gewichtige Negativbeispiele unter Beweis stellen: 13 große Social Media Fails (Klaus Eck), Social Web: Trigemas „Beinahe-Social-Media-Desaster“ (Falk Hedemann), Social-Media-Desaster, Teil 3: Jung von Matt (Alex Kölling). Der Erfolg von “Maßnahmen” im Internet setzt somit eine entsprechende offene Unternehmenskultur voraus. Online-Beiträge müssen schnell und authentisch veröffentlicht werden dürfen und nicht erst durch drei Hierarchieebenen abgesegnet werden müssen. Viele Unternehmen (z.B. Daimler) haben bereits Social Media-Richtlinien für ihre Mitarbeiter aufgestellt, um sich den Herausforderungen des Internets zu stellen. Ein sehr interessantes Beispiel aus der Praxis (für den authentischen Einsatz von Twitter) sind die Wynn-Hotels: Hanselminutes Podcast 208 – Social Media and the Business of Social – The Wynn Resorts.
Doch eins nach dem anderen. Zunächst bin ich mal gespannt auf das Google-Ranking, das ich mit diesem Beitrag erziele. Aktuell (21.04.2011) sehen die Ergebnislisten (jeweils die ersten 50 Einträge) von Google zu den entsprechenden Suchbegriffen wie folgt aus (die Suchergebnisse werden nach einem Klick auf das entsprechende Vorschaubild angezeigt):
In ein paar Tagen werde ich die gleichen Suchanfragen noch einmal stellen und die Ergebnisse dann mit den aktuellen vergleichen. Mal schauen, ob sich dann tatsächlich etwas getan hat. Nach 5 Tagen habe ich die gleichen Suchanfragen noch einmal ausgeführt und hier sind die Ergebnisse: Auswertung von Google-Suchanfragen zum Thema Private Krankenversicherung (PKV)
Um das Thema Social Media kümmere ich mich dann danach 🙂 Ich lade euch aber natürlich bereits jetzt alle herzlich ein, in den Kommentaren mit mir über das Thema zu diskutieren.
Recently, I wanted to add single sign on (SSO) functionality to our intranet server, which runs a Debian Linux. Users should be automatically logged in to the website using their Windows user accounts, which are stored in an Active Directory on a Windows Server 2008 R2, without entering their credentials again. To make this work in the described Linux/Windows environment, Kerberos is the method of choice.
Now, after looking at the small bit of configuration that is actually needed to get SSO working, the complete day I spent figuring it out seems like a waste of time 🙂 But while searching the web for answers to all the problems I faced during the initial configuration, I got a feeling that many others had to struggle with Kerberos, too.
Anyway, here is how to make SSO run on Debian Linux against Windows Server 2008 R2, started from scratch:
Make sure to use only the latest packages available, especially the ones regarding Samba and Kerberos. Otherwise Kerberos may not work due to changes in Windows Server 2008. I used the following configuration in /etc/apt/sources.list:
deb http://ftp.de.debian.org/debian/ squeeze main deb-src http://ftp.de.debian.org/debian/ squeeze main
These are the packages’ versions on my Debian machine:
ii samba 2:3.5.6~dfsg-3squeeze2 SMB/CIFS file, print, and login server for Unix ii samba-common 2:3.5.6~dfsg-3squeeze2 common files used by both the Samba server and client ii samba-common-bin 2:3.5.6~dfsg-3squeeze2 common files used by both the Samba server and client ii krb5-config 2.2 Configuration files for Kerberos Version 5 ii krb5-multidev 1.8.3+dfsg-4 Development files for MIT Kerberos without Heimdal conflict ii krb5-user 1.8.3+dfsg-4 Basic programs to authenticate using MIT Kerberos ii libgssapi-krb5-2 1.8.3+dfsg-4 MIT Kerberos runtime libraries - krb5 GSS-API Mechanism ii libkrb5-3 1.8.3+dfsg-4 MIT Kerberos runtime libraries ii libkrb5-dev 1.8.3+dfsg-4 Headers and development libraries for MIT Kerberos ii libkrb53 1.8.3+dfsg-4 transitional package for MIT Kerberos libraries ii libkrb5support0 1.8.3+dfsg-4 MIT Kerberos runtime libraries - Support library
Install the needed packages and go through the basic configuration as described here:
In my case the basic needed configuration looks like this:
[libdefaults]
default_realm = YOURDOMAIN.COM
[realms]
YOURDOMAIN.COM = {
kdc = DOMAINCONTROLLER.YOURDOMAIN.COM
master_kdc = DOMAINCONTROLLER.YOURDOMAIN.COM
admin_server = DOMAINCONTROLLER.YOURDOMAIN.COM
default_domain = YOURDOMAIN.COM
}
[login]
krb4_convert = true
krb4_get_tickets = false
workgroup = YOURDOMAIN realm = YOURDOMAIN.COM netbios name = WEBSERVER security = ADS idmap uid = 10000-20000 idmap gid = 10000-20000 winbind enum users = yes winbind enum groups = yes winbind use default domain = yes machine password timeout = 0 # needed when using only the machine account as described below
AuthType Kerberos KrbAuthRealms YOURDOMAIN.COM KrbMethodNegotiate On KrbMethodK5Passwd On KrbServiceName HTTP/webserver.yourdomain.com Krb5KeyTab /etc/krb5.keytab require valid-user
Now you basically have two choices for Kerberos authentication against the Active Directory: Using a seperate technical user account (which should be the preferred method) or using only the Linux server’s machine account.
webserver:~# net ads join -U administrator Enter administrator's password: Using short domain name -- YOURDOMAIN Joined 'WEBSERVER' to realm 'yourdomain.com'
webserver:~# /etc/init.d/samba restart Stopping Samba daemons: nmbd smbd. Starting Samba daemons: nmbd smbd. webserver:~# /etc/init.d/winbind restart Stopping the Winbind daemon: winbind. Starting the Winbind daemon: winbind.
webserver:~# wbinfo -t checking the trust secret for domain YOURDOMAIN via RPC calls succeeded
ktpass -princ HOST/webserver.yourdomain.com@YOURDOMAIN.COM -mapuser tukerberos@YOURDOMAIN.COM -crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL -pass Kerber0s -out c:\krb5.keytab ktpass -princ HTTP/webserver.yourdomain.com@YOURDOMAIN.COM -mapuser tukerberos@YOURDOMAIN.COM -crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL -pass Kerber0s -out c:\krb5.keytab -in c:\krb5.keytab
webserver:~# chown root.www-data /etc/krb5.keytab webserver:~# chmod 0640 /etc/krb5.keytab
webserver:~# net ads join -U administrator Enter administrator's password: Using short domain name -- YOURDOMAIN Joined 'WEBSERVER' to realm 'yourdomain.com' [2011/04/19 10:54:35.026049, 0] libads/kerberos.c:333(ads_kinit_password) kerberos_kinit_password WEBSERVER$@YOURDOMAIN.COM failed: Preauthentication failed
webserver:~# kpasswd webserver Password for webserver@YOURDOMAIN.COM: webserver Enter new password: Kerber0s Enter it again: Kerber0s Password changed.
webserver:~# kinit webserver Password for webserver@YOURDOMAIN.COM: Kerber0s
webserver:~# kvno HTTP/webserver HTTP/webserver@YOURDOMAIN.COM: kvno = 18
webserver:~# ktutil ktutil: addent -password -p HOST/webserver.yourdomain.com@YOURDOMAIN.COM -k 18 -e rc4-hmac Password for HTTP/webserver.yourdomain.com@YOURDOMAIN.COM: Kerber0s ktutil: addent -password -p HTTP/webserver.yourdomain.com@YOURDOMAIN.COM -k 18 -e rc4-hmac Password for HTTP/webserver.yourdomain.com@YOURDOMAIN.COM: Kerber0s ktutil: wkt /etc/krb5.keytab ktutil: q
webserver:~# chown root.www-data /etc/krb5.keytab webserver:~# chmod 0640 /etc/krb5.keytab
This is how a successful Kerberos login looks in the Apache logfile:
[Tue Apr 19 11:09:04 2011] [debug] src/mod_auth_kerb.c(1628): [client 10.120.22.74] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos [Tue Apr 19 11:09:04 2011] [debug] src/mod_auth_kerb.c(1240): [client 10.120.22.74] Acquiring creds for HTTP/webserver.yourdomain.com [Tue Apr 19 11:09:04 2011] [debug] src/mod_auth_kerb.c(1385): [client 10.120.22.74] Verifying client data using KRB5 GSS-API [Tue Apr 19 11:09:04 2011] [debug] src/mod_auth_kerb.c(1401): [client 10.120.22.74] Client didn't delegate us their credential [Tue Apr 19 11:09:04 2011] [debug] src/mod_auth_kerb.c(1420): [client 10.120.22.74] GSS-API token of length 163 bytes will be sent back
However, these are all the different error messages I got throughout my initial attempt:
[Mon Apr 18 16:57:30 2011] [debug] src/mod_auth_kerb.c(1101): [client 10.120.22.74] GSS-API major_status:000d0000, minor_status:0000000d [Mon Apr 18 16:57:30 2011] [error] [client 10.120.22.74] gss_acquire_cred() failed: Unspecified GSS failure. Minor code may provide more information (, Permission denied)
→ wrong file system permissions for /etc/krb5.keytab, i.e. not readable for the webserver’s Linux user
[Mon Apr 18 17:51:54 2011] [debug] src/mod_auth_kerb.c(1101): [client 10.120.22.74] GSS-API major_status:000d0000, minor_status:025ea101 [Mon Apr 18 17:51:54 2011] [error] [client 10.120.22.74] gss_acquire_cred() failed: Unspecified GSS failure. Minor code may provide more information (, Key table entry not found)
→ missing service principal (possibly HTTP/webserver.yourdomain.com@YOURDOMAIN.COM) in /etc/krb5.keytab
[Tue Apr 19 08:40:38 2011] [debug] src/mod_auth_kerb.c(1429): [client 10.120.22.74] Warning: received token seems to be NTLM, which isn't supported by the Kerberos module. Check your IE configuration. [Tue Apr 19 08:40:38 2011] [debug] src/mod_auth_kerb.c(1101): [client 10.120.22.74] GSS-API major_status:00010000, minor_status:00000000 [Tue Apr 19 08:40:38 2011] [error] [client 10.120.22.74] gss_accept_sec_context() failed: An unsupported mechanism was requested (, Unknown error)
→ the website is not in zone “Local Intranet” in IE or IE is configured incorrectly, see Authentication Uses NTLM instead of Kerberos
[Tue Apr 19 09:31:43 2011] [debug] src/mod_auth_kerb.c(1101): [client 10.120.20.81] GSS-API major_status:000d0000, minor_status:000186a3 [Tue Apr 19 09:31:43 2011] [error] [client 10.120.20.81] gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information (, )
→ wrong kvno or machine password in /etc/krb5.keytab → recreate the keytab using the correct information
→ OR problem with local Kerberos ticket cache on your workstation, use Kerbtray.exe to purge the ticket cache and open the website in IE again
A colleague of mine had a problem with a Windows Server 2008 R2 today: After configuring the server as the DNS server for the local domain, name resolution on a Debian client was extremely slow. A ping returned the correct IP and only took a few milliseconds but between each single ping a few seconds passed:
When adding -n (disable address resolution) to the list of ping‘s options everything worked fine. So it had to be a problem with the DNS server. Volker Helms seemed to have the same problem and his blog post lead me towards the right solution.
Apparently, the problem was the DNS server trying to forward each DNS request to a root server on the internet which it could not reach (due to firewall settings) although the client tried to resolve a host in the DNS server’s own DNS domain. However, after adding the root zone (.) to the DNS server, the ping worked just fine. But because I thought that this was a bad solution, I searched for a better one and found the following setting: Properties – Advanced – Server options – Disable recursion (see Microsoft’s explanation here: Disable Recursion on the DNS Server). After enabling the setting the ping worked as expected.
