Özyinelemeli DNS araması başarılı olmasına rağmen, DNS bir ad sunucusu değiştikten sonra neden çözümlenmiyor?

12

Kısa bir süre önce Cloudflare'den sahip olduğum bir alanı DNS'yi Netlify'e taşıdım, bu yüzden ad sunucularımı güncellemem gerekti. DNS önbelleğini atlayan bir özyinelemeli DNS araması çalıştırdığımda her şey doğru ayarlanmış gibi görünüyor:

$ dig howtogit.net +trace
(output truncated)
howtogit.net.       20  IN  A   159.65.199.87
;; Received 57 bytes from 198.51.44.1#53(dns1.p01.nsone.net) in 18 ms

Ancak, düzenli bir DNS araması başarısız olur:

$ nslookup howtogit.net                                                                               
Server:     192.168.1.1
Address:    192.168.1.1#53

** server can't find howtogit.net: SERVFAIL

Önbelleğe alma işleminin hatalı olması durumunda Cloudflare'nin hala aramadığı sorunu çözeceğini varsayıyorum. 8.8.8.8 (Google'ın DNS'si) araması da başarısız olur:

$ dig @8.8.8.8 howtogit.net

; <<>> DiG 9.10.6 <<>> @8.8.8.8 howtogit.net
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 63809
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;howtogit.net.          IN  A

;; Query time: 43 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sun Sep 23 13:05:50 CEST 2018
;; MSG SIZE  rcvd: 41

DNS kayıtları önbelleğe alındığından, NS ve A kayıtlarım için Google'ın DNS önbelleğini temizlemeyi de denedim . 10 saatten önce meydana gelen değişime rağmen hala aynı sonucu alıyorum.

Yapılandırmam yanlış mı? DNS'imin tekrar düzgün çözülebildiğinden nasıl emin olabilirim?

domain-name-system 
Pieter
kaynak
1
Bu gibi durumlarda, böyle bir araç dnsviz.netsize bir DNSSEC sorunu olduğunu kolayca göstermelidir. Aslında sorunu burada açıkça görebilirsiniz: dnsviz.net/d/howtogit.net/W6d5WA/dnssec , şu anki çalışma ile karşılaştırabilirsiniz: dnsviz.net/d/howtogit.net/W6kJlg/dnssec
Patrick Mevzek
Evet, anladım. Sonuçta Netlify DNS DNSSEC'yi desteklemediğinden Cloudflare'ye geçmeye karar verdim. Ama bilmek güzel!
Pieter
DNSSEC gerçekten zor. Sağladığı özellikler ve sahip olunması gereken adımlar arasında bir uzlaşma. İlgili durumlarda, bir sorun giderme ipucu: digSERVFAIL ile başarısız olursa ancak aynı eklemeyi tekrar yaparsanız +cdve artık başarısız olmazsa, muhtemelen sorunun DNSSEC ile ilgili olduğu anlamına gelir. +cdDNSSEC kontrollerini devre dışı bırakın, dolayısıyla olası fark. Ancak SERVFAIL birçok sorun için olabilir, DNS'de (şimdilik) genişletilmiş hata kodları yoktur ...
Patrick Mevzek

Yanıtlar:

24

Görünüşe göre howtogit.netbölge imzalamıştı ve isim sunucularını değiştirdikten sonra artık imzalanmadı.

Ancak, DSbölgenin belirli bir anahtarla imzalanması gerektiğini belirten eski kaydı yerinde bıraktınız .

DSKaydı kaldırın veya bölgeyi yeniden imzalayın ve DSkaydı gerektiği gibi güncelleyin ( DSkayıt, kayıt kuruluşunuz aracılığıyla yönetilir).

İlgili dig +traceçıktının arka ucuna bakarsanız, bunun durumun olması gerektiği oldukça açıktır ( DSreferansın bir parçası olarak, ancak DNSKEYyetkili uçta hayır veya başka bir tür sorguladığınızda yalnızca imza yok):

$ dig +trace +all howtogit.net DNSKEY

...

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63298
;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 5

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;howtogit.net.                  IN      DNSKEY

;; AUTHORITY SECTION:
howtogit.net.           172800  IN      NS      dns1.p01.nsone.net.
howtogit.net.           172800  IN      NS      dns2.p01.nsone.net.
howtogit.net.           172800  IN      NS      dns3.p01.nsone.net.
howtogit.net.           172800  IN      NS      dns4.p01.nsone.net.
howtogit.net.           86400   IN      DS      2371 13 2 F7822E035739507BFB9ED504B65FFE7A95698E58C069EF1DE754EED0 55E6799F
howtogit.net.           86400   IN      RRSIG   DS 8 2 86400 20180927051931 20180920040931 7934 net. POLNdGPgCCeF6ClG4ro1mkUI5DpqUuuLLeR4WCly1L5GbOTgPnzg02Nx 2Sse2dYDLJLB1EQYotZkvVm8GNFS5iE8UQlmp4GA3yxTgUeifw5PX6Eh kiJSip37/CyGCTy6OMPoVeMgQjLnrxt1aAOsnO5BszeGY7gD6ee/XHMO zc4=

;; ADDITIONAL SECTION:
dns1.p01.nsone.net.     172800  IN      A       198.51.44.1
dns2.p01.nsone.net.     172800  IN      A       198.51.45.1
dns3.p01.nsone.net.     172800  IN      A       198.51.44.65
dns4.p01.nsone.net.     172800  IN      A       198.51.45.65

;; Query time: 159 msec
;; SERVER: 2001:503:231d::2:30#53(2001:503:231d::2:30)
;; WHEN: Sun Sep 23 11:35:52 UTC 2018
;; MSG SIZE  rcvd: 402

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53062
;; flags: qr aa; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;howtogit.net.                  IN      DNSKEY

;; AUTHORITY SECTION:
howtogit.net.           3600    IN      SOA     dns1.p01.nsone.net. hostmaster.nsone.net. 1537613509 43200 7200 1209600 3600

;; Query time: 1 msec
;; SERVER: 198.51.45.65#53(198.51.45.65)
;; WHEN: Sun Sep 23 11:35:52 UTC 2018
;; MSG SIZE  rcvd: 103

$
Håkan Lindqvist
kaynak
1
Spot var ... Görünüşe göre, taşınmadan önce DNSSEC'yi devre dışı bırakmayı unuttum. Kayıt şirketimle DS kaydını kaldırdım ve 8.8.8.8, alan adını hemen doğru bir şekilde çözmeye başladı.
Pieter
5
@Pieter Sorun değil. Aksi takdirde bu tür soruları gereksiz yere cevaplamayı zorlaştıran özellikleri gizlemediğiniz için teşekkür ederiz.
Håkan Lindqvist
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.