Özyineleme ortasında bir yerde DNS sorunlarını nasıl çözebilirim?

DNS'imle ilgili gerçekten garip bir sorunum var. Alan adım ( strugee.net) bazı ağlardan çözülemez ve diğer ağlardan çözülemez.

Örneğin, ev ağımda (sunucunun bulunduğu ağ):

% dig strugee.net

; <<>> DiG 9.10.3-P4 <<>> strugee.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10086
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;strugee.net.           IN  A

;; ANSWER SECTION:
strugee.net.        1800    IN  A   216.160.72.225

;; Query time: 186 msec
;; SERVER: 205.171.3.65#53(205.171.3.65)
;; WHEN: Sat Apr 16 15:42:36 PDT 2016
;; MSG SIZE  rcvd: 56

Ancak, Digital Ocean'da bulunan bir sunucuda oturum açarsam, etki alanı çözümlenemez:

% dig strugee.net      

; <<>> DiG 9.9.5-9+deb8u3-Debian <<>> strugee.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 58551
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;strugee.net.           IN  A

;; Query time: 110 msec
;; SERVER: 2001:4860:4860::8844#53(2001:4860:4860::8844)
;; WHEN: Sat Apr 16 18:44:25 EDT 2016
;; MSG SIZE  rcvd: 40

Ancak , doğrudan yetkili ad sunucularına gitmek gayet iyi çalışıyor:

% dig @dns1.registrar-servers.com strugee.net   

; <<>> DiG 9.9.5-9+deb8u3-Debian <<>> @dns1.registrar-servers.com strugee.net
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30856
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;strugee.net.           IN  A

;; ANSWER SECTION:
strugee.net.        1800    IN  A   216.160.72.225

;; AUTHORITY SECTION:
strugee.net.        1800    IN  NS  dns3.registrar-servers.com.
strugee.net.        1800    IN  NS  dns4.registrar-servers.com.
strugee.net.        1800    IN  NS  dns2.registrar-servers.com.
strugee.net.        1800    IN  NS  dns1.registrar-servers.com.
strugee.net.        1800    IN  NS  dns5.registrar-servers.com.

;; Query time: 3 msec
;; SERVER: 216.87.155.33#53(216.87.155.33)
;; WHEN: Sat Apr 16 18:46:36 EDT 2016
;; MSG SIZE  rcvd: 172

Etki alanımı çözemeyen bazı büyük ağlarda bir sorun olduğu oldukça açıktır, ancak nerede olduğunu anlayamıyorum. digManpage'i yardımcı olabilecek seçenekler için gözden kaçırdım, ancak özellikle yararlı bir şey bulamadım.

Namecheap üzerinde hem DNS hem de alan adı kayıt kuruluşu olarak çalışıyorum. DNSSEC seçeneği açık. Son zamanlarda DNS ayarlarımda herhangi bir değişiklik yapmadım.

Bu sorunu nasıl ayıklayabilir ve rahatsız edici ad sunucusunu nasıl bulabilirim?

domain-name-system recursive

— strugee
kaynak

Alan adını verdiğiniz için teşekkür ederiz. Bu gibi sorunların Serverfault üzerinde bu bilgi olmadan bizim tarafımızdan giderilmesi son derece zordur.

— Andrew B

@AndrewB oh, biliyorum.

— Rica ederim

@ AndrewB'nin cevabı mantıklı ve benim için doğru görünüyor. Ben okumadan önce olsa da, başarılı olanlar IPV4 kullanılırken başarısız sorgu bir IPV6 ad sunucusu kullandığımı fark ettim. Genellikle (bu durumda değil) bu kötü bir IPV6 yapılandırmasına işaret eder ve takma adlar yerine ad sunucularının sayısal IPV [4/6] adreslerini açıkça kullanmak yararlı olabilir.

— Guntram Blohm, Monica'yı

Elveda biz bir yanıt aldı unutmayın olarak @Guntram dan biz bağlantısı olduğundan demek olduğunu nameserverlara, için en azından DNS sunucusu. İnsanların yanlış izlenimle bundan uzaklaşmadığından emin olmak istiyorum ... SERVFAILbir yukarı akış problemini gösterebilir, ancak yine de bir cevap paketini gösterir.

— Andrew B

@GuntramBlohm Bir şeyin üzerindesin. strugee.netbeş NS kaydı vardır, ancak AAAAtutkal kaydı yok sadece Atutkal kayıtları. Daha da kötüsü, bu beş Atutkal kaydının sadece iki farklı IP adresini işaret etmesidir. Bu oldukça kırılgan bir kurulum gibi görünüyor. Eldeki sorunun temel nedeni olmasa bile, dikkat edilmesi gereken bir şeydir.

— kasperd

Yanıtlar:

Bu sorunu nasıl ayıklayabilir ve rahatsız edici ad sunucusunu nasıl bulabilirim?

daxd5 iyi bir başlangıç tavsiyesi sundu, ancak buradaki tek gerçek cevap, özyinelemeli bir DNS sunucusu gibi düşünmeyi bilmeniz gerektiğidir. Yetkili katmanda tutarsızlığa neden olabilecek çok sayıda yanlış yapılandırma olduğundan, SERVFAILbir DNS profesyoneline veya çevrimiçi doğrulama aracına ihtiyacınız vardır.

Her neyse, amaç size yardım etmekten kurtulmak değil, ama bu soruya kesin bir cevap olmadığını anladığınızdan emin olmak istedim.

Sizin durumunuzda, bunun strugee.netDNSSEC ile imzalanmış bir bölge olduğunu fark ettim . Bu, sevk zincirindeki DSve RRSIGkayıtlarının varlığından bellidir :

# dig +trace +additional strugee.net
<snip>
strugee.net.            172800  IN      NS      dns2.registrar-servers.com.
strugee.net.            172800  IN      NS      dns1.registrar-servers.com.
strugee.net.            172800  IN      NS      dns3.registrar-servers.com.
strugee.net.            172800  IN      NS      dns4.registrar-servers.com.
strugee.net.            172800  IN      NS      dns5.registrar-servers.com.
strugee.net.            86400   IN      DS      16517 8 1 B08CDBF73B89CCEB2FD3280087D880F062A454C2
strugee.net.            86400   IN      RRSIG   DS 8 2 86400 20160423051619 20160416040619 50762 net. w76PbsjxgmKAIzJmklqKN2rofq1e+TfzorN+LBQVO4+1Qs9Gadu1OrPf XXgt/AmelameSMkEOQTVqzriGSB21azTjY/lLXBa553C7fSgNNaEXVaZ xyQ1W/K5OALXzkDLmjcljyEt4GLfcA+M3VsQyuWI4tJOng184rGuVvJO RuI=
dns2.registrar-servers.com. 172800 IN   A       216.87.152.33
dns1.registrar-servers.com. 172800 IN   A       216.87.155.33
dns3.registrar-servers.com. 172800 IN   A       216.87.155.33
dns4.registrar-servers.com. 172800 IN   A       216.87.152.33
dns5.registrar-servers.com. 172800 IN   A       216.87.155.33
;; Received 435 bytes from 192.41.162.30#53(l.gtld-servers.net) in 30 ms

Daha ileri gitmeden önce, imzalamanın geçerli olup olmadığını kontrol etmeliyiz. DNSViz bu amaç için sıkça kullanılan bir araçtır ve gerçekten de problemler olduğunu doğrular . Resimdeki kızgın kırmızı, bir sorununuz olduğunu gösteriyor, ancak her şeyi fareyle karıştırmak yerine sol kenar çubuğundaki Bildirimleri genişletebiliriz :

RRSIG strugee.net/A alg 8, id 10636: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/DNSKEY alg 8, id 16517: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/DNSKEY alg 8, id 16517: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/MX alg 8, id 10636: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/NS alg 8, id 10636: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/SOA alg 8, id 10636: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/TXT alg 8, id 10636: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
net to strugee.net: No valid RRSIGs made by a key corresponding to a DS RR were found covering the DNSKEY RRset, resulting in no secure entry point (SEP) into the zone. (216.87.152.33, 216.87.155.33, UDP_0_EDNS0_32768_4096)

Sorun açık: Bölgenizdeki imzanın süresi doldu ve anahtarların yenilenmesi gerekiyor. Tutarsız sonuçlar görmenizin nedeni, tüm özyinelemeli sunucuların DNSSEC doğrulamasının etkin olmamasıdır. Validate olanlar alan adınızı düşürüyor ve olmayanlar için her zamanki gibi iş.

Düzenleme: Comcast'in DNS altyapısının DNSSEC doğrulamasını uyguladığı biliniyor ve müşterilerinden biri olarak bir de gördüğümü doğrulayabilirim SERVFAIL.

$ dig @75.75.75.75 strugee.net | grep status
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 2011

— Andrew B
kaynak

Hata! stugee.netAçıkçası bir yazım hatası olan kazı çıktı vardı . Bu analizin DNSSEC kısmı doğru isme göre yapılmıştır.

— Andrew B

Gerçekten yetkili ad sunucularının doğru yanıt verdiğini görürken, tüm DNS çözümleme zincirini izlemeniz gerekir. Bu, tüm DNS hiyerarşisini kök sunuculardan yukarı doğru yürütün.

$ dig net NS
;; ANSWER SECTION:
net.            172800  IN  NS  c.gtld-servers.net.
net.            172800  IN  NS  f.gtld-servers.net.
net.            172800  IN  NS  k.gtld-servers.net.
;; snipped extra servers given
$ dig @c.gtld-servers.net strugee.net NS
;; AUTHORITY SECTION:
strugee.net.        172800  IN  NS  dns2.registrar-servers.com.
strugee.net.        172800  IN  NS  dns1.registrar-servers.com.
;; snipped extra servers again

Bu temel olarak genel DNS sunucularının çalışıp çalışmadığını kontrol eder ve DNS çözümleyicinizin yaptığı ile aynı şeyi yaparsınız. Bu nedenle, DNS çözümleyicilerinde bir sorun olmadıkça Digital Ocean sunucunuzda yukarıdaki yanıtların aynısını almalısınız:

$ dig net NS
$ dig strugee.net NS
$ dig strugee.net

İlk iki sorgu başarısız olursa, Digital Ocean tarafındaki DNS başarısız olur. Kontrol edin /etc/resolv.confve ikincil DNS sunucusunu sorgulamayı deneyin. İkincil çalışırsa, çözümleyicilerin sırasını değiştirip tekrar deneyin.

— daxd5
kaynak