मैं पुनरावृत्ति के बीच में DNS समस्याओं को कैसे हल कर सकता हूं?

मुझे अपने DNS के साथ वास्तव में अजीब समस्या है। मेरा डोमेन नाम ( strugee.net) कुछ नेटवर्कों से अनार्य है, और दूसरों से रिसॉल्वेबल है।

उदाहरण के लिए, मेरे होम नेटवर्क पर (उसी नेटवर्क सर्वर पर):

% dig strugee.net

; <<>> DiG 9.10.3-P4 <<>> strugee.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10086
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;strugee.net.           IN  A

;; ANSWER SECTION:
strugee.net.        1800    IN  A   216.160.72.225

;; Query time: 186 msec
;; SERVER: 205.171.3.65#53(205.171.3.65)
;; WHEN: Sat Apr 16 15:42:36 PDT 2016
;; MSG SIZE  rcvd: 56

हालाँकि, अगर मैं डिजिटल महासागर में मौजूद सर्वर में लॉग इन करता हूं, तो डोमेन हल करने में विफल रहता है:

% dig strugee.net      

; <<>> DiG 9.9.5-9+deb8u3-Debian <<>> strugee.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 58551
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;strugee.net.           IN  A

;; Query time: 110 msec
;; SERVER: 2001:4860:4860::8844#53(2001:4860:4860::8844)
;; WHEN: Sat Apr 16 18:44:25 EDT 2016
;; MSG SIZE  rcvd: 40

लेकिन , आधिकारिक नेमवेर्स पर सीधे जाने से ठीक काम होता है:

% dig @dns1.registrar-servers.com strugee.net   

; <<>> DiG 9.9.5-9+deb8u3-Debian <<>> @dns1.registrar-servers.com strugee.net
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30856
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;strugee.net.           IN  A

;; ANSWER SECTION:
strugee.net.        1800    IN  A   216.160.72.225

;; AUTHORITY SECTION:
strugee.net.        1800    IN  NS  dns3.registrar-servers.com.
strugee.net.        1800    IN  NS  dns4.registrar-servers.com.
strugee.net.        1800    IN  NS  dns2.registrar-servers.com.
strugee.net.        1800    IN  NS  dns1.registrar-servers.com.
strugee.net.        1800    IN  NS  dns5.registrar-servers.com.

;; Query time: 3 msec
;; SERVER: 216.87.155.33#53(216.87.155.33)
;; WHEN: Sat Apr 16 18:46:36 EDT 2016
;; MSG SIZE  rcvd: 172

यह स्पष्ट है कि कुछ बड़े नेटवर्क के साथ कुछ समस्या है जो कहीं मेरे डोमेन को हल करने में विफल हो रही है, लेकिन मुझे यह पता नहीं लग सकता है कि कहां है। मैंने उन digविकल्पों के लिए मैनपेज को स्किम किया , जो मदद कर सकते हैं, लेकिन विशेष रूप से उपयोगी कुछ भी नहीं मिला।

मैं एक डोमेन रजिस्ट्रार के साथ-साथ DNS होस्टिंग के रूप में Namecheap पर हूं। मेरे पास DNSSEC विकल्प चालू है। मैंने हाल ही में अपनी DNS सेटिंग्स में कोई बदलाव नहीं किया है।

मैं इस समस्या को कैसे मिटा सकता हूं और आपत्तिजनक नेमसेवर खोज सकता हूं?

domain-name-system recursive

— strugee
स्रोत

डोमेन का नाम प्रदान करने के लिए धन्यवाद। इस तरह की समस्याएँ उस जानकारी के बिना सर्वरफॉल्ट पर हमारे द्वारा समस्या निवारण के लिए अत्यंत कठिन हैं।

— एंड्रयू बी

@AndrewB ओह, मुझे पता है। आपका स्वागत है, मुझ पर विश्वास करें :)

— strugee

@ एंड्रयूबी का जवाब समझ में आता है और मुझे सही लगता है। इससे पहले कि मैं इसे पढ़ूँ, हालाँकि, मैंने देखा कि आपकी असफल क्वेरी ने IPV6 नामकरण का उपयोग किया, जबकि सफल लोगों ने IPV4 का उपयोग किया। अक्सर (obv। इस मामले में नहीं) यह एक खराब IPV6 कॉन्फ़िगरेशन पर संकेत देता है, और यह उपनामों के बजाय संख्यात्मक IPV [4/6] नेमसर्वर्स के एड्रेसेस का स्पष्ट रूप से उपयोग करने में मददगार हो सकता है।

— गुंतराम ब्लोह

@Guntram जब तक हम यह ध्यान रखते हैं कि हमें नेमसर्वर से उत्तर मिला , जिसका अर्थ है कि हमारे पास DNS सर्वर से कम से कम कनेक्टिविटी है । बस यह सुनिश्चित करना चाहते हैं कि लोग गलत धारणा के साथ उससे दूर न चलें ... SERVFAILएक अपस्ट्रीम समस्या का संकेत हो सकता है, लेकिन यह अभी भी एक उत्तर पैकेट को इंगित करता है।

— एंड्रयू बी

@GuntramBlohm आप कुछ पर हैं। strugee.netपाँच NS रिकॉर्ड हैं, लेकिन कोई भी AAAAगोंद रिकॉर्ड केवल Aगोंद रिकॉर्ड नहीं करता है। क्या बुरा है कि उन पाँच Aगोंद रिकॉर्ड केवल दो अलग-अलग आईपी पते की ओर इशारा करते हैं। यह काफी भंगुर सेटअप की तरह लगता है। यहां तक कि अगर यह हाथ में समस्या का मूल कारण नहीं है, तो यह देखने के लिए कुछ है।

— कैस्परड

जवाबों:

मैं इस समस्या को कैसे मिटा सकता हूं और आपत्तिजनक नेमसेवर खोज सकता हूं?

daxd5 ने कुछ अच्छी शुरुआत की सलाह दी, लेकिन यहाँ एकमात्र वास्तविक उत्तर यह है कि आपको यह जानना आवश्यक है कि पुनरावर्ती DNS सर्वर की तरह कैसे सोचा जाए। चूँकि आधिकारिक परत पर कई गलतफहमियाँ हैं, जिसके परिणामस्वरूप असंगत हो सकते हैं SERVFAIL, आपको एक DNS पेशेवर या ऑनलाइन सत्यापन उपकरण की आवश्यकता है।

वैसे भी, लक्ष्य आपकी मदद करने से बचना नहीं है, लेकिन मैं यह सुनिश्चित करना चाहता था कि आप समझें कि उस प्रश्न का कोई निर्णायक जवाब नहीं है।

आपके विशेष मामले में, मैंने देखा कि strugee.netDNSSEC के साथ हस्ताक्षरित एक क्षेत्र प्रतीत होता है। यह रेफरल श्रृंखला में DSऔर RRSIGरिकॉर्ड की उपस्थिति से स्पष्ट है :

# dig +trace +additional strugee.net
<snip>
strugee.net.            172800  IN      NS      dns2.registrar-servers.com.
strugee.net.            172800  IN      NS      dns1.registrar-servers.com.
strugee.net.            172800  IN      NS      dns3.registrar-servers.com.
strugee.net.            172800  IN      NS      dns4.registrar-servers.com.
strugee.net.            172800  IN      NS      dns5.registrar-servers.com.
strugee.net.            86400   IN      DS      16517 8 1 B08CDBF73B89CCEB2FD3280087D880F062A454C2
strugee.net.            86400   IN      RRSIG   DS 8 2 86400 20160423051619 20160416040619 50762 net. w76PbsjxgmKAIzJmklqKN2rofq1e+TfzorN+LBQVO4+1Qs9Gadu1OrPf XXgt/AmelameSMkEOQTVqzriGSB21azTjY/lLXBa553C7fSgNNaEXVaZ xyQ1W/K5OALXzkDLmjcljyEt4GLfcA+M3VsQyuWI4tJOng184rGuVvJO RuI=
dns2.registrar-servers.com. 172800 IN   A       216.87.152.33
dns1.registrar-servers.com. 172800 IN   A       216.87.155.33
dns3.registrar-servers.com. 172800 IN   A       216.87.155.33
dns4.registrar-servers.com. 172800 IN   A       216.87.152.33
dns5.registrar-servers.com. 172800 IN   A       216.87.155.33
;; Received 435 bytes from 192.41.162.30#53(l.gtld-servers.net) in 30 ms

इससे पहले कि हम आगे बढ़ें, हमें यह जाँचने की आवश्यकता है कि हस्ताक्षर मान्य है या नहीं। DNSViz एक उपकरण है जिसे अक्सर इस उद्देश्य के लिए उपयोग किया जाता है, और यह पुष्टि करता है कि वास्तव में समस्याएं हैं । तस्वीर में गुस्से में लाल यह सुझाव दे रहा है कि आपको एक समस्या है, लेकिन हर चीज पर मूस करने के बजाय हम सिर्फ बाईं तरफ के नोटिस का विस्तार कर सकते हैं :

RRSIG strugee.net/A alg 8, id 10636: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/DNSKEY alg 8, id 16517: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/DNSKEY alg 8, id 16517: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/MX alg 8, id 10636: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/NS alg 8, id 10636: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/SOA alg 8, id 10636: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/TXT alg 8, id 10636: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
net to strugee.net: No valid RRSIGs made by a key corresponding to a DS RR were found covering the DNSKEY RRset, resulting in no secure entry point (SEP) into the zone. (216.87.152.33, 216.87.155.33, UDP_0_EDNS0_32768_4096)

समस्या स्पष्ट है: आपके ज़ोन पर हस्ताक्षर की समय सीमा समाप्त हो गई है और चाबियों को ताज़ा करने की आवश्यकता है। आप असंगत परिणाम क्यों देख रहे हैं इसका कारण यह है कि सभी पुनरावर्ती सर्वरों में DNSSEC सत्यापन सक्षम नहीं है। जो लोग मान्य करते हैं वे आपके डोमेन को छोड़ रहे हैं, और जो लोग ऐसा नहीं करते हैं वे हमेशा की तरह व्यापार करते हैं।

संपादित करें: कॉमकास्ट के डीएनएस बुनियादी ढांचे को DNSSEC सत्यापन को लागू करने के लिए जाना जाता है, और उनके ग्राहकों में से एक के रूप में मैं पुष्टि कर सकता हूं कि मैं एक SERVFAILअच्छी तरह से देख रहा हूं ।

$ dig @75.75.75.75 strugee.net | grep status
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 2011

— एंड्रयू बी
स्रोत

वूप्स, मैं stugee.netखुदाई उत्पादन में था, जो स्पष्ट रूप से एक टाइपो है। इस विश्लेषण का DNSSEC हिस्सा सही नाम के खिलाफ किया गया था।

— एंड्रयू बी

जब आप वास्तव में देख रहे हैं कि आधिकारिक नाम सर्वर सही तरीके से जवाब दे रहे हैं, तो आपको DNS रिज़ॉल्यूशन की पूरी श्रृंखला का पालन करने की आवश्यकता है। यह है, रूट सर्वर से पूरे DNS पदानुक्रम को नीचे चलना।

$ dig net NS
;; ANSWER SECTION:
net.            172800  IN  NS  c.gtld-servers.net.
net.            172800  IN  NS  f.gtld-servers.net.
net.            172800  IN  NS  k.gtld-servers.net.
;; snipped extra servers given
$ dig @c.gtld-servers.net strugee.net NS
;; AUTHORITY SECTION:
strugee.net.        172800  IN  NS  dns2.registrar-servers.com.
strugee.net.        172800  IN  NS  dns1.registrar-servers.com.
;; snipped extra servers again

यह मूल रूप से जाँचता है कि सार्वजनिक DNS सर्वर काम कर रहे हैं, और आप वही काम कर रहे हैं जो आपके DNS रिज़ॉल्वर को करना चाहिए। इसलिए आपको अपने डिजिटल महासागर सर्वर में उतने ही उत्तर मिलने चाहिए, जब तक कि उनके DNS रिज़ॉल्वर के साथ कुछ गलत न हो:

$ dig net NS
$ dig strugee.net NS
$ dig strugee.net

यदि पहले दो प्रश्न विफल होते हैं, तो यह डीएनएस ऑन डिजिटल ओशन की विफलता है। अपनी जाँच करें /etc/resolv.confऔर द्वितीयक DNS सर्वर को क्वेरी करने का प्रयास करें। यदि द्वितीयक काम करता है, तो बस रिज़ॉल्वरों के लिए ऑर्डर स्विच करें और फिर से प्रयास करें।

— daxd5
स्रोत