域名系统 – 域名服务器不同意SOA序列

我有两个域指向具有A记录的相同IP地址.两个域都使用相同的两个名称服务器,但我仍然遇到很多连接问题,但并非所有来到该网站的客户. IntoDNS报告名称服务器不同意SOA序列,但这仅适用于其中一个域.

因此,稍后进行了一些测试,我发现Google公共DNS服务器甚至不响应来自不起作用的域的ping,而是响应其他公共DNS服务器,并且它们也服务于网页.我测试了所有公共DNS服务器的4.2.2.1,4.2.2.2和208.67.222.222.访问该网站时,它会抛出一个错误：

ERR_NAME_NOT_RESOLVED

有谁知道这可能意味着什么？名称服务器连续出现在一个域而不是另一个域上,而它们都指向同一个地址？谷歌DNS不会索引它,而其他人呢？

我想我已经通过了更新时间限制,因为它已经超过一周了.

从谷歌DNS挖掘结果：

; <<>> DiG 9.8.5-P1 <<>> @8.8.8.8 woolland.se
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 44011
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;woolland.se.           IN  A

;; Query time: 97 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sat Sep 14 12:39:15 BST 2013
;; MSG SIZE  rcvd: 29

挖掘4.2.2.1的结果：

; <<>> DiG 9.8.5-P1 <<>> @4.2.2.1 woolland.se
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62739
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;woolland.se.           IN  A

;; ANSWER SECTION:
woolland.se.        3253    IN  A   91.207.159.238

;; Query time: 46 msec
;; SERVER: 4.2.2.1#53(4.2.2.1)
;; WHEN: Sat Sep 14 12:40:27 BST 2013
;; MSG SIZE  rcvd: 45

我怀疑,在没有你提及的情况下,连接问题可能确实是由DNS解析问题引起的.

我不确定为什么8.8.8.8的行为与解析你的名字时的行为方式完全相同,但在调查DNSSEC问题时你可能会发现一些有趣的结果.

首先,让我们做一个跟踪(为了简洁,我会删除很多东西)：

$dig +trace @8.8.8.8 in a woolland.se
<snip>
woolland.se.            86400   IN      NS      ns1.uniweb.no.
woolland.se.            86400   IN      NS      ns3.uniweb.no.
woolland.se.            3600    IN      DS      47206 8 1 0F680594167E22758CED534A22CC6B0DF7092BB9
woolland.se.            3600    IN      DS      47206 8 2 ED352517E9D3A24071F3E5183E2A0EC200A28E328089E1C9659A382B D5FBC616
woolland.se.            3600    IN      RRSIG   DS 5 2 3600 20130924164158 20130911081201 6388 se. accBgRdJlBn18VVNysPhBmmVBsMeiLC58cMg9kVYUTYqg4iLtPmPKH/X FD6HqR8rWFzXvUIMs11SHl2ImJL9MOC0ggWMz4Lc/CcrfYveHEolJ9BX 9b5tImUlJrp6t7A4+U9oW354aJDfhdd8cEJmUNDZUq1LbmfoGolF588g Y9g=
;; Received 331 bytes from 2001:67c:254c:301::53#53(2001:67c:254c:301::53) in 214 ms

woolland.se.            3600    IN      A       91.207.159.238
;; Received 45 bytes from 109.247.131.38#53(109.247.131.38) in 190 ms

您可能会注意到,在递归结束时,我们没有为您的区域获得RRSIG.但是,我们确实从.se TLD服务器获得了DS记录(签名授权)：

$dig @j.ns.se in ds woolland.se
<snip>
;; QUESTION SECTION:
;woolland.se.                   IN      DS

;; ANSWER SECTION:
woolland.se.            3600    IN      DS      47206 8 1 0F680594167E22758CED534A22CC6B0DF7092BB9
woolland.se.            3600    IN      DS      47206 8 2 ED352517E9D3A24071F3E5183E2A0EC200A28E328089E1C9659A382B D5FBC616

DS记录的存在表明您的区域已签名,但事实并非如此.

您必须做的是以某种方式从.se root获取DS记录,或者更新它并在您的域上设置DNSSEC.

Level3的DNS服务器(还没有？)完全设置为DNSSEC;您可能会注意到,即使您在查询中设置AD并取消设置CD,您也永远不会得到AD标志的回复.同样,谷歌的DNS服务器8.8.8.8确实完全支持DNSSEC,因此设置CD标志的域的查询将给出您的地址(此标志代表“禁用检查”)：

$dig @8.8.8.8 +cdflag in a woolland.se

; <<>> DiG 9.9.2-P2 <<>> @8.8.8.8 +cdflag in a woolland.se
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53877
;; flags: qr rd ra cd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;woolland.se.                   IN      A

;; ANSWER SECTION:
woolland.se.            3471    IN      A       91.207.159.238

;; Query time: 46 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sat Sep 14 08:02:31 2013
;; MSG SIZE  rcvd: 56

不同的序列没有任何关系,尽管它确实表明您的两个DNS服务器可能不同步.检查它们是否正确复制;如果主设备上的串行低于从设备上的串行,则将主设备上的串行设备上升到高于两者的值.