एक पुनरावर्ती DNS लुकअप सफल होने के बावजूद, एक नेमवेसर परिवर्तन के बाद DNS क्यों हल नहीं होता है?

12

मैंने हाल ही में Cloudflare से Netlify DNS के लिए खुद का एक डोमेन माइग्रेट किया था, इसलिए मुझे अपने नेमसर्वर को अपडेट करना पड़ा। जब मैं एक पुनरावर्ती DNS लुकअप चलाता हूं जो DNS कैश को बायपास करता है तो लगता है कि सब कुछ सही तरीके से सेट किया गया है:

$ dig howtogit.net +trace
(output truncated)
howtogit.net.       20  IN  A   159.65.199.87
;; Received 57 bytes from 198.51.44.1#53(dns1.p01.nsone.net) in 18 ms

हालाँकि, एक नियमित DNS लुकअप विफल हो जाता है:

$ nslookup howtogit.net                                                                               
Server:     192.168.1.1
Address:    192.168.1.1#53

** server can't find howtogit.net: SERVFAIL

मुझे लगता है कि अगर कैशिंग में गलती थी, तो Cloudflare अभी भी लुकअप को हल करेगा जो यह नहीं करता है। 8.8.8.8 (Google का DNS) पर एक लुकअप भी विफल हो जाता है:

$ dig @8.8.8.8 howtogit.net

; <<>> DiG 9.10.6 <<>> @8.8.8.8 howtogit.net
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 63809
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;howtogit.net.          IN  A

;; Query time: 43 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sun Sep 23 13:05:50 CEST 2018
;; MSG SIZE  rcvd: 41

चूंकि DNS रिकॉर्ड्स कैश हैं, इसलिए मैंने अपने NS और A रिकॉर्ड के लिए Google के DNS कैश को फ्लश करने की कोशिश की । 10 घंटे पहले हुए बदलाव के बावजूद मुझे अभी भी वही परिणाम मिल रहे हैं।

क्या मेरा कॉन्फ़िगरेशन गलत है? मैं कैसे सुनिश्चित करूं कि मेरा DNS फिर से ठीक से हल हो सकता है?

domain-name-system 
पीटर
स्रोत
1
इस तरह के मामलों में, एक उपकरण जैसे dnsviz.netआपको आसानी से दिखाना चाहिए कि एक DNSSEC समस्या है। वास्तव में आप यहाँ स्पष्ट रूप से समस्या देख सकते हैं: dnsviz.net/d/howtogit.net/W6d5WA/dnssec जिसे आप वर्तमान में काम करने की तुलना कर सकते हैं: dnsviz.net/d/howtogit.net/W6kJlg/dnssec
पैट्रिक मेव्ज़ेक
हां, मुझे लगा। अंततः मैंने Cloudflare पर वापस जाने का फैसला किया क्योंकि Netlify DNS DNSSEC का समर्थन नहीं करता है। लेकिन जानकर अच्छा लगा!
पीटर
DNSSEC वास्तव में कठिन है। सुविधाओं के बीच एक समझौता जो इसे प्रदान करता है और ओ.टी. के लिए आवश्यक चरणों की आवश्यकता होती है। संबंधित मामलों में, एक समस्या निवारण टिप: अगर digSERVFAIL के साथ विफल रहता है, लेकिन यदि आप एक ही जोड़ने वाले सटीक को फिर से करते हैं +cdऔर यह अब विफल नहीं होता है, तो संभवतः इसका मतलब है कि समस्या DNSSEC संबंधित है। +cdDNSSEC चेक को अक्षम करें, इसलिए संभावित अंतर। लेकिन SERVFAIL बहुत सारी समस्याओं के लिए हो सकता है, DNS में कोई (अब के लिए) विस्तारित त्रुटि कोड नहीं हैं ...
पैट्रिक मेवज़ेक

जवाबों:

24

ऐसा प्रतीत होता है कि howtogit.netज़ोन ने उस पर हस्ताक्षर किए थे, और नेमसर्वर स्विच करने के बाद अब यह हस्ताक्षरित नहीं है।

हालाँकि, आपने पुराने DSरिकॉर्ड को छोड़ दिया है, यह दर्शाता है कि ज़ोन को किसी विशिष्ट कुंजी के साथ हस्ताक्षरित किया जाना चाहिए।

या तो DSरिकॉर्ड को हटा दें या फिर से ज़ोन पर हस्ताक्षर करें और DSरिकॉर्ड को आवश्यकतानुसार अपडेट करें ( DSरिकॉर्ड को आपके रजिस्ट्रार के माध्यम से प्रबंधित किया जाता है)।

यदि आप प्रासंगिक dig +traceआउटपुट के टेल एंड को देखते हैं, तो यह वास्तव में बिल्कुल स्पष्ट है कि यह मामला होना चाहिए ( DSजैसा कि रेफरल का हिस्सा है, लेकिन DNSKEYआधिकारिक छोर पर नहीं है , या सिर्फ कोई हस्ताक्षर नहीं है यदि आप किसी अन्य प्रकार की क्वेरी करते हैं):

$ dig +trace +all howtogit.net DNSKEY

...

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63298
;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 5

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;howtogit.net.                  IN      DNSKEY

;; AUTHORITY SECTION:
howtogit.net.           172800  IN      NS      dns1.p01.nsone.net.
howtogit.net.           172800  IN      NS      dns2.p01.nsone.net.
howtogit.net.           172800  IN      NS      dns3.p01.nsone.net.
howtogit.net.           172800  IN      NS      dns4.p01.nsone.net.
howtogit.net.           86400   IN      DS      2371 13 2 F7822E035739507BFB9ED504B65FFE7A95698E58C069EF1DE754EED0 55E6799F
howtogit.net.           86400   IN      RRSIG   DS 8 2 86400 20180927051931 20180920040931 7934 net. POLNdGPgCCeF6ClG4ro1mkUI5DpqUuuLLeR4WCly1L5GbOTgPnzg02Nx 2Sse2dYDLJLB1EQYotZkvVm8GNFS5iE8UQlmp4GA3yxTgUeifw5PX6Eh kiJSip37/CyGCTy6OMPoVeMgQjLnrxt1aAOsnO5BszeGY7gD6ee/XHMO zc4=

;; ADDITIONAL SECTION:
dns1.p01.nsone.net.     172800  IN      A       198.51.44.1
dns2.p01.nsone.net.     172800  IN      A       198.51.45.1
dns3.p01.nsone.net.     172800  IN      A       198.51.44.65
dns4.p01.nsone.net.     172800  IN      A       198.51.45.65

;; Query time: 159 msec
;; SERVER: 2001:503:231d::2:30#53(2001:503:231d::2:30)
;; WHEN: Sun Sep 23 11:35:52 UTC 2018
;; MSG SIZE  rcvd: 402

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53062
;; flags: qr aa; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;howtogit.net.                  IN      DNSKEY

;; AUTHORITY SECTION:
howtogit.net.           3600    IN      SOA     dns1.p01.nsone.net. hostmaster.nsone.net. 1537613509 43200 7200 1209600 3600

;; Query time: 1 msec
;; SERVER: 198.51.45.65#53(198.51.45.65)
;; WHEN: Sun Sep 23 11:35:52 UTC 2018
;; MSG SIZE  rcvd: 103

$
हाकन लिंडक्विस्ट
स्रोत
1
आप हाजिर हैं ... ऐसा लगता है कि मैं पलायन करने से पहले DNSSEC को अक्षम करना भूल गया। मैंने अपने रजिस्ट्रार के साथ डीएस रिकॉर्ड को हटा दिया और 8.8.8.8 ने तुरंत डोमेन को सही ढंग से हल करना शुरू कर दिया।
पीटर
5
@ पीटर कोई समस्या नहीं है। बारीकियों को न मानने के लिए धन्यवाद, जो अन्यथा इस प्रकार के प्रश्नों का उत्तर देने के लिए अनावश्यक रूप से कठिन बना देता है।
1948 में हांक लिंडकविस्ट
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.