奇怪的BIND解析问题

奇怪的BIND解析问题

我的 DNS 服务器出现了奇怪的解析问题。我有几十年管理 Windows DNS 服务器的经验,但管理 Ubuntu/BIND 9 服务器的经验还不到一年。下面介绍一下我的环境:

我在一家小型服务提供商工作,管理三台 Ubuntu/Bind 9 服务器。它们配置为主服务器和两台从服务器。所有三台服务器都配置了为服务器保留的 VLAN 上的私有 IP 地址,防火墙上到从服务器的静态 NAT。从服务器可从我们的内部网络和公共互联网访问,但公共递归仅限于我们托管的 IP 子网。主服务器仅允许从两个从服务器和我们的内部管理 VLAN 进行访问。主服务器和从服务器 2 是运行 BIND 9.8.1-P1 的 Ubuntu 12.04。从服务器 1 是一个较旧的系统,计划更换,运行 Ubuntu 9.04 和 BIND 9.8.1-P1。我在两个从服务器上都看到了相同的问题行为。我构建了主服务器和从服务器 2,并从以前的管理员那里继承了从服务器 1。

问题如下:如果我从我们托管的 IP 子网之一上的系统对 office365.com. 执行 NSLOOKUP,则会成功解析。如果我尝试解析 outlook.office365.com.,则会收到以下错误:

***未知 找不到 outlook.office365.com。:未指定的错误

我可以通过 NSLOOKUP 成功解析来自服务器 VLAN 上的系统和两个从属服务器的控制台的这两个 URL。一位客户向我报告了这个问题,他说他在几个 URL 上都看到过这个问题,但他唯一能记住的就是 outlook.office365.com。我尝试了许多其他 URL,它们都成功解析了。我只能用那个 URL 复制这个问题。(希望客户能记住更多。)

根据我在此网站上找到的一篇文章,我设置了一个 query.log,并且看到请求无论来自何处都进入。

示例:
客户端 MYIPADDRESS#1067:查询:outlook.office365.com IN A + (BINDSERVERIPADDRESS)

如果我将 DNS 服务器更改为 8.8.8.8 或 4.2.2.2,它会正确解析;将这两个服务器都添加为 Bind 服务器上的转发器并不能解决问题。我检查了系统日志,但没有看到有关该查询的条目可以提供线索。我也尝试允许从“任何”递归,但问题相同。我还检查了我们的防火墙规则集,没有看到任何可以解释这一点的东西。似乎如果访问列表是问题所在,则任何 DNS 查询都不会起作用。有人有什么想法吗?有没有办法记录查询失败的原因?

相关内容