域名 dwc-amsterdam.com 是在支持 DNSSEC 的托管公司 A(hostA)上获得的。
然后它被转移到不提供 DNSSEC 的托管公司 B(hostB)。
在检测到域名的某些问题后,罪魁祸首似乎是该域名仍然处于活动状态的 DS 记录:
dwc-amsterdam.com. 86400 IN DS 17739 7 1 05D720F7D200908C61631CD257A60F16ACE9D13D
HostB 表示 DS 记录从未进入他们的区域,因此无法帮助我,并将我引导到 HostA。
HostA 表示转移 2 周后所有记录均被删除。技术支持确认了该域名的这一情况,并将我引导回当前主机 HostB。
我怎样才能打破僵局?
是否可以直接检查 DS 记录的来源?
答案1
(委托签名者)密钥DS被添加到父区域 (com.,就你的情况而言)通过您的注册员。
这延续了.com>dwc-amsterdam.com. (父级)处的 DS 记录.com用于证明你的 名称服务器(子服务器)就是他们所声称的那样。需要明确的是,HostB 的名称服务器(子服务器)不会托管此记录,控制面板也不会添加该记录,除非他们也是注册商。
如果新的托管公司 HostB 负责将注册商处列出的名称服务器粘合更改为新服务器,那么他们将负责清理该注册商处的旧记录。
要实际查看记录,我们首先从以下位置获取名称服务器列表com.:
$ dig com. IN NS
...从列表中选择一个名称服务器,然后查询您的 DS:
$ dig dwc-amsterdam.com IN DS @d.gtld-servers.net
...回复中要注意的重要一点是标志aa已设置 - 这意味着它是一个权威答案;简单地说,响应的名称服务器“拥有”该记录。
答案2
但是您有 DS 记录,您刚刚在帖子中展示了这一点。您所要做的就是在新的域名注册商控制面板中重新输入该记录。
您可以在域设置中找到需要输入的参数:
Key tag: 17739
Algorithm: 7
Digest Type: 1
Digest: 05D720F7D200908C61631CD257A60F16ACE9D13D
请注意,如果它不起作用,您可能需要再次签署 DS 记录以生成新的委托签名者。