Làm cách nào tôi có thể giải quyết các sự cố DNS ở đâu đó ở giữa đệ quy?

13

Tôi có một vấn đề thực sự kỳ lạ với DNS của tôi. Tên miền của tôi ( strugee.net) không thể giải quyết được từ một số mạng và có thể phân giải được từ các mạng khác.

Ví dụ: trên mạng gia đình của tôi (cùng mạng với máy chủ đang bật):

% dig strugee.net

; <<>> DiG 9.10.3-P4 <<>> strugee.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10086
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;strugee.net.           IN  A

;; ANSWER SECTION:
strugee.net.        1800    IN  A   216.160.72.225

;; Query time: 186 msec
;; SERVER: 205.171.3.65#53(205.171.3.65)
;; WHEN: Sat Apr 16 15:42:36 PDT 2016
;; MSG SIZE  rcvd: 56

Tuy nhiên, nếu tôi đăng nhập vào máy chủ tôi có trên Digital Ocean, tên miền không thể giải quyết:

% dig strugee.net      

; <<>> DiG 9.9.5-9+deb8u3-Debian <<>> strugee.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 58551
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;strugee.net.           IN  A

;; Query time: 110 msec
;; SERVER: 2001:4860:4860::8844#53(2001:4860:4860::8844)
;; WHEN: Sat Apr 16 18:44:25 EDT 2016
;; MSG SIZE  rcvd: 40

Nhưng , đi trực tiếp đến máy chủ tên có thẩm quyền hoạt động tốt:

% dig @dns1.registrar-servers.com strugee.net   

; <<>> DiG 9.9.5-9+deb8u3-Debian <<>> @dns1.registrar-servers.com strugee.net
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30856
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;strugee.net.           IN  A

;; ANSWER SECTION:
strugee.net.        1800    IN  A   216.160.72.225

;; AUTHORITY SECTION:
strugee.net.        1800    IN  NS  dns3.registrar-servers.com.
strugee.net.        1800    IN  NS  dns4.registrar-servers.com.
strugee.net.        1800    IN  NS  dns2.registrar-servers.com.
strugee.net.        1800    IN  NS  dns1.registrar-servers.com.
strugee.net.        1800    IN  NS  dns5.registrar-servers.com.

;; Query time: 3 msec
;; SERVER: 216.87.155.33#53(216.87.155.33)
;; WHEN: Sat Apr 16 18:46:36 EDT 2016
;; MSG SIZE  rcvd: 172

Rõ ràng là có một vấn đề với một số mạng lớn ở đâu đó không giải quyết được tên miền của tôi, nhưng tôi dường như không thể tìm ra nơi nào. Tôi đã lướt qua digtrang chủ cho các tùy chọn có thể giúp ích, nhưng không tìm thấy bất cứ điều gì đặc biệt hữu ích.

Tôi đang ở Namecheap với tư cách là nhà đăng ký tên miền cũng như lưu trữ DNS. Tôi đã bật tùy chọn DNSSEC. Gần đây tôi chưa thực hiện bất kỳ thay đổi nào đối với cài đặt DNS của mình.

Làm thế nào tôi có thể gỡ lỗi vấn đề này và tìm máy chủ tên vi phạm?

domain-name-system  recursive 
strugee
nguồn
7
Cảm ơn bạn đã cung cấp tên miền. Các sự cố như thế này cực kỳ khó khắc phục bởi chúng tôi trên Serverfault mà không có thông tin đó.
Andrew B
@AndrewB oh, tôi biết. Không có gì, tin tôi đi :)
strugee
2
Câu trả lời của AndrewB có ý nghĩa và có vẻ đúng với tôi. Tuy nhiên, trước khi đọc nó, tôi nhận thấy truy vấn thất bại của bạn đã sử dụng máy chủ tên IPV6, trong khi những truy vấn thành công sử dụng IPV4. Thông thường (obv. Không phải trong trường hợp này) gợi ý về cấu hình IPV6 xấu này và có thể hữu ích khi sử dụng rõ ràng IPV [4/6] địa chỉ của máy chủ tên thay vì bí danh.
Guntram Blohm hỗ trợ Monica
@Guntram Miễn là chúng tôi ghi nhớ rằng chúng tôi đã nhận được phản hồi từ máy chủ tên, điều đó có nghĩa là chúng tôi có ít nhất khả năng kết nối với máy chủ DNS. Chỉ muốn đảm bảo rằng mọi người không rời khỏi đó với ấn tượng sai ... SERVFAILcó thể chỉ ra một vấn đề ngược dòng, nhưng nó vẫn chỉ ra một gói trả lời.
Andrew B
@GuntramBlohm Bạn đang vào một cái gì đó. strugee.netcó năm hồ sơ NS, nhưng không có AAAAhồ sơ Akeo chỉ hồ sơ keo. Điều tồi tệ hơn là năm Abản ghi keo đó chỉ vào hai địa chỉ IP khác nhau. Đó dường như là một thiết lập khá dễ vỡ. Ngay cả khi nó không phải là nguyên nhân gốc rễ của vấn đề trong tay, thì đó là điều cần chú ý.
kasperd

Câu trả lời:

24

Làm thế nào tôi có thể gỡ lỗi vấn đề này và tìm máy chủ tên vi phạm?

daxd5 cung cấp một số lời khuyên khởi đầu tốt, nhưng câu trả lời thực sự duy nhất ở đây là bạn cần biết cách suy nghĩ như một máy chủ DNS đệ quy. Vì có nhiều cấu hình sai ở lớp có thẩm quyền có thể dẫn đến sự không nhất quán SERVFAIL, bạn cần một công cụ xác thực trực tuyến hoặc chuyên nghiệp DNS.

Dù sao, mục tiêu không phải là để giúp bạn, nhưng tôi muốn chắc chắn rằng bạn hiểu rằng không có câu trả lời nào cho câu hỏi đó.

Trong trường hợp cụ thể của bạn, tôi nhận thấy rằng strugee.netdường như là một khu vực được ký kết với DNSSEC. Điều này là hiển nhiên từ sự hiện diện của DSRRSIGhồ sơ trong chuỗi giới thiệu:

# dig +trace +additional strugee.net
<snip>
strugee.net.            172800  IN      NS      dns2.registrar-servers.com.
strugee.net.            172800  IN      NS      dns1.registrar-servers.com.
strugee.net.            172800  IN      NS      dns3.registrar-servers.com.
strugee.net.            172800  IN      NS      dns4.registrar-servers.com.
strugee.net.            172800  IN      NS      dns5.registrar-servers.com.
strugee.net.            86400   IN      DS      16517 8 1 B08CDBF73B89CCEB2FD3280087D880F062A454C2
strugee.net.            86400   IN      RRSIG   DS 8 2 86400 20160423051619 20160416040619 50762 net. w76PbsjxgmKAIzJmklqKN2rofq1e+TfzorN+LBQVO4+1Qs9Gadu1OrPf XXgt/AmelameSMkEOQTVqzriGSB21azTjY/lLXBa553C7fSgNNaEXVaZ xyQ1W/K5OALXzkDLmjcljyEt4GLfcA+M3VsQyuWI4tJOng184rGuVvJO RuI=
dns2.registrar-servers.com. 172800 IN   A       216.87.152.33
dns1.registrar-servers.com. 172800 IN   A       216.87.155.33
dns3.registrar-servers.com. 172800 IN   A       216.87.155.33
dns4.registrar-servers.com. 172800 IN   A       216.87.152.33
dns5.registrar-servers.com. 172800 IN   A       216.87.155.33
;; Received 435 bytes from 192.41.162.30#53(l.gtld-servers.net) in 30 ms

Trước khi chúng ta tiến xa hơn, chúng ta cần kiểm tra xem việc ký có hợp lệ hay không. DNSViz là một công cụ thường xuyên được sử dụng cho mục đích này và nó xác nhận rằng thực sự có vấn đề . Màu đỏ giận dữ trong ảnh đang gợi ý rằng bạn có vấn đề, nhưng thay vì xử lý mọi thứ chúng ta chỉ có thể mở rộng Thông báo trên thanh bên trái:

RRSIG strugee.net/A alg 8, id 10636: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/DNSKEY alg 8, id 16517: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/DNSKEY alg 8, id 16517: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/MX alg 8, id 10636: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/NS alg 8, id 10636: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/SOA alg 8, id 10636: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/TXT alg 8, id 10636: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
net to strugee.net: No valid RRSIGs made by a key corresponding to a DS RR were found covering the DNSKEY RRset, resulting in no secure entry point (SEP) into the zone. (216.87.152.33, 216.87.155.33, UDP_0_EDNS0_32768_4096)

Vấn đề rất rõ ràng: chữ ký trên vùng của bạn đã hết hạn và các khóa cần được làm mới. Lý do tại sao bạn thấy kết quả không nhất quán là vì không phải tất cả các máy chủ đệ quy đều bật xác thực DNSSEC. Những người xác nhận đang bỏ tên miền của bạn và đối với những người không hoạt động như bình thường.

Chỉnh sửa: Cơ sở hạ tầng DNS của Comcast được biết là thực hiện xác thực DNSSEC và là một trong những khách hàng của họ, tôi có thể xác nhận rằng tôi cũng đang nhìn thấy SERVFAIL.

$ dig @75.75.75.75 strugee.net | grep status
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 2011
Andrew B
nguồn
Rất tiếc, tôi đã có stugee.nettrong đầu ra đào, đó rõ ràng là một lỗi đánh máy. Phần DNSSEC của phân tích này được thực hiện với tên chính xác.
Andrew B
5

Mặc dù bạn thực sự thấy rằng các máy chủ tên có thẩm quyền đang phản hồi chính xác, bạn cần theo dõi toàn bộ chuỗi phân giải DNS. Đây là, đi xuống toàn bộ hierachy DNS từ các máy chủ gốc trở lên.

$ dig net NS
;; ANSWER SECTION:
net.            172800  IN  NS  c.gtld-servers.net.
net.            172800  IN  NS  f.gtld-servers.net.
net.            172800  IN  NS  k.gtld-servers.net.
;; snipped extra servers given
$ dig @c.gtld-servers.net strugee.net NS
;; AUTHORITY SECTION:
strugee.net.        172800  IN  NS  dns2.registrar-servers.com.
strugee.net.        172800  IN  NS  dns1.registrar-servers.com.
;; snipped extra servers again

Điều này về cơ bản kiểm tra xem các máy chủ DNS công cộng có hoạt động không và bạn đang làm điều tương tự mà trình phân giải DNS của bạn sẽ thực hiện. Vì vậy, bạn sẽ nhận được câu trả lời giống như trên trong máy chủ Digital Ocean của mình trừ khi có lỗi với trình phân giải DNS của họ:

$ dig net NS
$ dig strugee.net NS
$ dig strugee.net

Nếu hai truy vấn đầu tiên thất bại, thì DNS ở phía Digital Ocean sẽ thất bại. Kiểm tra /etc/resolv.confvà thử truy vấn máy chủ DNS thứ cấp. Nếu cái thứ cấp hoạt động, chỉ cần chuyển thứ tự cho bộ giải và thử lại.

daxd5
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.