域名服务器不同意SOA系列

我有两个域指向与Alogging相同的IP地址。 这两个域使用相同的两个域名服务器,我仍然有很多的连接问题,但不是所有的客户来到网站。 IntoDNS报告名称服务器不同意SOA串行,但这只发生在其中一个域中。

因此,稍后进行一些testing,我发现Google公共DNS服务器甚至不响应来自不起作用的域的ping,但是其他公有DNS服务器也这样做,并且它们也服务于网页。 我testing了4.2.2.1,4.2.2.2和208.67.222.222,所有的公共DNS服务器。 当访问该网站时,会引发错误:

ERR_NAME_NOT_RESOLVED

有谁知道这可能意味着什么? 名称服务器序列在一个域中失败,而另一个域却指向相同的地址? 而谷歌的DNS不索引而其他人呢?

我想我已经通过了更新时间限制,因为它已经超过一个星期了。

挖掘谷歌DNS的结果:

; <<>> DiG 9.8.5-P1 <<>> @8.8.8.8 woolland.se ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 44011 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;woolland.se. IN A ;; Query time: 97 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Sat Sep 14 12:39:15 BST 2013 ;; MSG SIZE rcvd: 29 

从4.2.2.1挖掘结果:

 ; <<>> DiG 9.8.5-P1 <<>> @4.2.2.1 woolland.se ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62739 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;woolland.se. IN A ;; ANSWER SECTION: woolland.se. 3253 IN A 91.207.159.238 ;; Query time: 46 msec ;; SERVER: 4.2.2.1#53(4.2.2.1) ;; WHEN: Sat Sep 14 12:40:27 BST 2013 ;; MSG SIZE rcvd: 45 

我怀疑,没有你提到它,连接问题可能确实是由DNSparsing问题引起的。

我不确定为什么8.8.8.8的行为与parsing名称的方式相同,但是当您调查DNSSEC问题时,您可能会发现一些有趣的结果。

首先,我们来做一个跟踪(为了简洁起见,我会删除很多东西):

 $ dig +trace @8.8.8.8 in a woolland.se <snip> woolland.se. 86400 IN NS ns1.uniweb.no. woolland.se. 86400 IN NS ns3.uniweb.no. woolland.se. 3600 IN DS 47206 8 1 0F680594167E22758CED534A22CC6B0DF7092BB9 woolland.se. 3600 IN DS 47206 8 2 ED352517E9D3A24071F3E5183E2A0EC200A28E328089E1C9659A382B D5FBC616 woolland.se. 3600 IN RRSIG DS 5 2 3600 20130924164158 20130911081201 6388 se. accBgRdJlBn18VVNysPhBmmVBsMeiLC58cMg9kVYUTYqg4iLtPmPKH/X FD6HqR8rWFzXvUIMs11SHl2ImJL9MOC0ggWMz4Lc/CcrfYveHEolJ9BX 9b5tImUlJrp6t7A4+U9oW354aJDfhdd8cEJmUNDZUq1LbmfoGolF588g Y9g= ;; Received 331 bytes from 2001:67c:254c:301::53#53(2001:67c:254c:301::53) in 214 ms woolland.se. 3600 IN A 91.207.159.238 ;; Received 45 bytes from 109.247.131.38#53(109.247.131.38) in 190 ms 

您可能会注意到在recursion结束时,我们没有为您的区域获得RRSIG。 但是,我们确实从.se TLD服务器获得了DSlogging(签名委派):

 $ dig @j.ns.se in ds woolland.se <snip> ;; QUESTION SECTION: ;woolland.se. IN DS ;; ANSWER SECTION: woolland.se. 3600 IN DS 47206 8 1 0F680594167E22758CED534A22CC6B0DF7092BB9 woolland.se. 3600 IN DS 47206 8 2 ED352517E9D3A24071F3E5183E2A0EC200A28E328089E1C9659A382B D5FBC616 

DSlogging的存在表示您的区域已签名,但不是。

您必须做的是以某种方式将DSlogging从.se根目录中取出,或者更新它,并在您的域上设置DNSSEC。

Level3的DNS服务器还没有(还没有完全build立)做DNSSEC; 您可能会注意到,即使您设置了AD并取消设置了您的查询,您也不会收到带有AD标志的回复。 同样,谷歌的DNS服务器8.8.8.8完全支持DNSSEC,所以用CD标志设置您的域的查询会给你的地址(这个标志代表“禁止检查”):

 $ dig @8.8.8.8 +cdflag in a woolland.se ; <<>> DiG 9.9.2-P2 <<>> @8.8.8.8 +cdflag in a woolland.se ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53877 ;; flags: qr rd ra cd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;woolland.se. IN A ;; ANSWER SECTION: woolland.se. 3471 IN A 91.207.159.238 ;; Query time: 46 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Sat Sep 14 08:02:31 2013 ;; MSG SIZE rcvd: 56 

不同的串口与此无关,但它确实表明您的两个DNS服务器可能不同步。 检查他们正在复制; 如果主站上的串行比从站上的串行低,则将主站上的串行上升到比两者更高的值。