Я недавно перенес свой домен из Cloudflare в Netlify DNS, поэтому мне пришлось обновить свои серверы имен. Когда я запускаю рекурсивный поиск DNS, который обходит кэш DNS, кажется, что все настроено правильно:
$ dig howtogit.net +trace
(output truncated)
howtogit.net. 20 IN A 159.65.199.87
;; Received 57 bytes from 198.51.44.1#53(dns1.p01.nsone.net) in 18 ms
Тем не менее, обычный поиск DNS не удается:
$ nslookup howtogit.net
Server: 192.168.1.1
Address: 192.168.1.1#53
** server can't find howtogit.net: SERVFAIL
Я предполагаю, что если бы кеширование было ошибочным, Cloudflare все равно разрешил бы поиск, который он не делает. Поиск по 8.8.8.8 (DNS от Google) также не выполняется:
$ dig @8.8.8.8 howtogit.net
; <<>> DiG 9.10.6 <<>> @8.8.8.8 howtogit.net
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 63809
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;howtogit.net. IN A
;; Query time: 43 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sun Sep 23 13:05:50 CEST 2018
;; MSG SIZE rcvd: 41
Поскольку записи DNS кэшируются, я также попытался очистить кэш DNS Google для моих записей NS и A. Я все еще получаю тот же результат, несмотря на то, что изменения произошли более 10 часов назад.
Моя конфигурация неверна? Как мне убедиться, что мой DNS может снова разрешить правильно?
domain-name-system
Pieter
источник
источник
dnsviz.net
должен легко показать вам, что существует проблема DNSSEC. На самом деле вы можете ясно увидеть проблему здесь: dnsviz.net/d/howtogit.net/W6d5WA/dnssec, которую вы можете сравнить с текущей рабочей: dnsviz.net/d/howtogit.net/W6kJlg/dnssecdig
сбой с SERVFAIL, но если вы повторяете одно+cd
и то же добавление, и это больше не дает сбоя, то это, вероятно, означает, что проблема связана с DNSSEC.+cd
отключить проверки DNSSEC, отсюда и возможная разница. Но SERVFAIL может случиться из-за множества проблем, в DNS нет (на данный момент) расширенных кодов ошибок ...Ответы:
Похоже, что
howtogit.net
зона, к которой он был подписан, и что после переключения серверов имен она больше не подписывается.Однако вы оставили старую
DS
запись на месте, что указывает на то, что зона должна быть подписана каким-то конкретным ключом.Удалите
DS
запись или подпишите зону еще раз и обновите ее,DS
если необходимо (DS
запись ведется через вашего регистратора).Если вы посмотрите на конец соответствующего
dig +trace
вывода, на самом деле совершенно ясно, что это должно иметь место (DS
как часть реферала, но неDNSKEY
на официальном конце, или просто нет подписей, если вы запрашиваете какой-то другой тип):источник