我有两个域指向具有A记录的相同IP地址.两个域都使用相同的两个名称服务器,但我仍然遇到很多连接问题,但并非所有来到该网站的客户. IntoDNS报告名称服务器不同意SOA序列,但这仅适用于
因此,稍后进行了一些测试,我发现Google公共DNS服务器甚至不响应来自不起作用的域的ping,而是响应其他公共DNS服务器,并且它们也服务于网页.我测试了所有公共DNS服务器的4.2.2.1,4.2.2.2和208.67.222.222.访问该网站时,它会抛出一个错误:
ERR_NAME_NOT_RESOLVED
有谁知道这可能意味着什么?名称服务器连续出现在一个域而不是另一个域上,而它们都指向同一个地址?谷歌DNS不会索引它,而其他人呢?
我想我已经通过了更新时间限制,因为它已经超过一周了.
从谷歌DNS挖掘结果:
; <<>> DiG 9.8.5-P1 <<>> @8.8.8.8 woolland.se ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 44011 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;woolland.se. IN A ;; Query time: 97 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Sat Sep 14 12:39:15 BST 2013 ;; MSG SIZE rcvd: 29
挖掘4.2.2.1的结果:
; <<>> DiG 9.8.5-P1 <<>> @4.2.2.1 woolland.se ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62739 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;woolland.se. IN A ;; ANSWER SECTION: woolland.se. 3253 IN A 91.207.159.238 ;; Query time: 46 msec ;; SERVER: 4.2.2.1#53(4.2.2.1) ;; WHEN: Sat Sep 14 12:40:27 BST 2013 ;; MSG SIZE rcvd: 45我怀疑,在没有你提及的情况下,连接问题可能确实是由DNS解析问题引起的.
我不确定为什么8.8.8.8的行为与解析你的名字时的行为方式完全相同,但在调查DNSSEC问题时你可能会发现一些有趣的结果.
首先,让我们做一个跟踪(为了简洁,我会删除很多东西):
$dig +trace @8.8.8.8 in a woolland.se <snip> woolland.se. 86400 IN NS ns1.uniweb.no. woolland.se. 86400 IN NS ns3.uniweb.no. woolland.se. 3600 IN DS 47206 8 1 0F680594167E22758CED534A22CC6B0DF7092BB9 woolland.se. 3600 IN DS 47206 8 2 ED352517E9D3A24071F3E5183E2A0EC200A28E328089E1C9659A382B D5FBC616 woolland.se. 3600 IN RRSIG DS 5 2 3600 20130924164158 20130911081201 6388 se. accBgRdJlBn18VVNysPhBmmVBsMeiLC58cMg9kVYUTYqg4iLtPmPKH/X FD6HqR8rWFzXvUIMs11SHl2ImJL9MOC0ggWMz4Lc/CcrfYveHEolJ9BX 9b5tImUlJrp6t7A4+U9oW354aJDfhdd8cEJmUNDZUq1LbmfoGolF588g Y9g= ;; Received 331 bytes from 2001:67c:254c:301::53#53(2001:67c:254c:301::53) in 214 ms woolland.se. 3600 IN A 91.207.159.238 ;; Received 45 bytes from 109.247.131.38#53(109.247.131.38) in 190 ms
您可能会注意到,在递归结束时,我们没有为您的区域获得RRSIG.但是,我们确实从.se TLD服务器获得了DS记录(签名授权):
$dig @j.ns.se in ds woolland.se <snip> ;; QUESTION SECTION: ;woolland.se. IN DS ;; ANSWER SECTION: woolland.se. 3600 IN DS 47206 8 1 0F680594167E22758CED534A22CC6B0DF7092BB9 woolland.se. 3600 IN DS 47206 8 2 ED352517E9D3A24071F3E5183E2A0EC200A28E328089E1C9659A382B D5FBC616
DS记录的存在表明您的区域已签名,但事实并非如此.
您必须做的是以某种方式从.se root获取DS记录,或者更新它并在您的域上设置DNSSEC.
Level3的DNS服务器(还没有?)完全设置为DNSSEC;您可能会注意到,即使您在查询中设置AD并取消设置CD,您也永远不会得到AD标志的回复.同样,谷歌的DNS服务器8.8.8.8确实完全支持DNSSEC,因此设置CD标志的域的查询将给出您的地址(此标志代表“禁用检查”):
$dig @8.8.8.8 +cdflag in a woolland.se ; <<>> DiG 9.9.2-P2 <<>> @8.8.8.8 +cdflag in a woolland.se ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53877 ;; flags: qr rd ra cd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;woolland.se. IN A ;; ANSWER SECTION: woolland.se. 3471 IN A 91.207.159.238 ;; Query time: 46 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Sat Sep 14 08:02:31 2013 ;; MSG SIZE rcvd: 56
不同的序列没有任何关系,尽管它确实表明您的两个DNS服务器可能不同步.检查它们是否正确复制;如果主设备上的串行低于从设备上的串行,则将主设备上的串行设备上升到高于两者的值.