更改 ns 记录后无法解析域或 ns

tag-icon tag-icon domain-name-system bind internal-dns
更改 ns 记录后无法解析域或 ns

我知道有人问过类似的问题,但实际上没有一个问题提供与我的情况相关的信息

我有两台代号为 DF 和 WP 的服务器,每台服务器都托管多个网站。DF 配置了集群 ns1 - ns4.dekyfinweb.com,而 WP 配置了 alpha、gamma 和 delta.dekyfinweb.com。每台服务器上的网站都使用该服务器上配置的名称服务器。

在我们开始将 dekyfinweb.com 的主网站从 DF 迁移到 WP 之前,一切都运行良好。我们将域名的名称服务器从 (ns1-ns4) 更改为 (alpha、gamma 和 delta);几个小时后,域名及其名称服务器停止解析。

我使用过各种在线 DNS 测试工具,但似乎无法获得有关问题原因的任何相关信息

以下是我使用 dig 运行的一些测试的结果

$ dig dekyfinweb.com

; <<>> DiG 9.11.0-P1 <<>> dekyfinweb.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 21431
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;dekyfinweb.com.                        IN      A

;; Query time: 423 msec
;; SERVER: 8.8.4.4#53(8.8.4.4)
;; WHEN: Thu Jun 15 14:39:56 GMT 2017
;; MSG SIZE  rcvd: 43

针对 .com 父名称服务器的查找结果

$ dig @g.gtld-servers.net dekyfinweb.com

; <<>> DiG 9.10.3-P4-Ubuntu <<>> @g.gtld-servers.net dekyfinweb.com
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6425
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 3, ADDITIONAL: 4
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;dekyfinweb.com.            IN  A

;; AUTHORITY SECTION:
dekyfinweb.com.     172800  IN  NS  alpha.dekyfinweb.com.
dekyfinweb.com.     172800  IN  NS  gamma.dekyfinweb.com.
dekyfinweb.com.     172800  IN  NS  delta.dekyfinweb.com.

;; ADDITIONAL SECTION:
alpha.dekyfinweb.com.   172800  IN  A   137.74.192.129
gamma.dekyfinweb.com.   172800  IN  A   137.74.192.129
delta.dekyfinweb.com.   172800  IN  A   137.74.192.129

;; Query time: 226 msec
;; SERVER: 192.42.93.30#53(192.42.93.30)
;; WHEN: Thu Jun 15 16:43:47 GMT 2017
;; MSG SIZE  rcvd: 151

gamma 和 delta 实际上指向不同的服务器,但我将 glue 记录更改为 137.74.192.129,因为它们无法与 alpha 同步

以下是根据上一个查询中提供的 IP 查找名称服务器

$ dig @137.74.192.129 alpha.dekyfinweb.com

; <<>> DiG 9.10.3-P4-Ubuntu <<>> @137.74.192.129 alpha.dekyfinweb.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8980
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 3
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;alpha.dekyfinweb.com.      IN  A

;; ANSWER SECTION:
alpha.dekyfinweb.com.   14400   IN  A   137.74.192.129

;; AUTHORITY SECTION:
dekyfinweb.com.     14400   IN  NS  delta.dekyfinweb.com.
dekyfinweb.com.     14400   IN  NS  gamma.dekyfinweb.com.
dekyfinweb.com.     14400   IN  NS  alpha.dekyfinweb.com.

;; ADDITIONAL SECTION:
delta.dekyfinweb.com.   14400   IN  A   149.56.14.198
gamma.dekyfinweb.com.   14400   IN  A   149.56.46.18

;; Query time: 129 msec
;; SERVER: 137.74.192.129#53(137.74.192.129)
;; WHEN: Thu Jun 15 16:48:15 GMT 2017
;; MSG SIZE  rcvd: 151

最后,根据 IP 查找域名似乎运行正常

$ dig @137.74.192.129 dekyfinweb.com

; <<>> DiG 9.11.0-P1 <<>> @137.74.192.129 dekyfinweb.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9918
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 4
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;dekyfinweb.com.                        IN      A

;; ANSWER SECTION:
dekyfinweb.com.         14400   IN      A       137.74.192.129

;; AUTHORITY SECTION:
dekyfinweb.com.         14400   IN      NS      delta.dekyfinweb.com.
dekyfinweb.com.         14400   IN      NS      gamma.dekyfinweb.com.
dekyfinweb.com.         14400   IN      NS      alpha.dekyfinweb.com.

;; ADDITIONAL SECTION:
alpha.dekyfinweb.com.   14400   IN      A       137.74.192.129
delta.dekyfinweb.com.   14400   IN      A       149.56.14.198
gamma.dekyfinweb.com.   14400   IN      A       149.56.46.18

;; Query time: 793 msec
;; SERVER: 137.74.192.129#53(137.74.192.129)
;; WHEN: Thu Jun 15 14:53:58 GMT 2017
;; MSG SIZE  rcvd: 167

答案1

您的问题与 TTL 无关。

您有 DNSSEC 问题,请参阅http://dnsviz.net/d/dekyfinweb.com/WUhiXg/dnssec/

简而言之,com 区域有您域名的 DS 记录,但您没有发布任何 DNSKEY 记录。因此,任何验证递归名称服务器(例如 Google 的服务器)都会将这种情况检测为终端错误,因此会出现 SERVFAIL,因为它可能是配置错误或主动攻击,并且这两种情况在外部都无法辨别。您需要快速安排这种情况:如果您对 DNSSEC 一无所知,请停止尝试使用它,转到您的注册商并要求他们从 .COM 区域中删除 DS 记录;如果您确实希望在您的域上启用 DNSSEC(一个有价值且崇高的目标,但并非没有陷阱),您需要修复当前配置。

只要您保留当前配置,您的域名就会被任何类型的验证递归名称服务器破坏,这种情况将永远无法自行解决。

比较 dig @8.8.8.8 dekyfinweb.com SOAdig @8.8.8.8 dekyfinweb.com SOA +cd 最后一个案例明确要求不进行 DNSSEC 验证,因此一切正常,这两个案例之间的比较表明问题与 DNSSEC 有关,以及上面的 dnsviz 输出)

答案2

等待大约 4 小时。(您的顶层似乎有 4 小时的 ttl)。看起来 Google 刚刚缓存了一个坏条目。由于dig +trace dekyfinweb.com似乎可以正常工作,我预计 ttl 到期后一切都会好起来。

答案3

(不是答案,但还不能发表评论)

我得到了不同的结果:

; <<>> DiG 9.10.3-P4-Debian <<>> +trace dekyfinweb.com
;; global options: +cmd
.           498957  IN  NS  d.root-servers.net.
.           498957  IN  NS  a.root-servers.net.
.           498957  IN  NS  l.root-servers.net.
.           498957  IN  NS  g.root-servers.net.
.           498957  IN  NS  b.root-servers.net.
.           498957  IN  NS  h.root-servers.net.
.           498957  IN  NS  c.root-servers.net.
.           498957  IN  NS  j.root-servers.net.
.           498957  IN  NS  e.root-servers.net.
.           498957  IN  NS  k.root-servers.net.
.           498957  IN  NS  f.root-servers.net.
.           498957  IN  NS  i.root-servers.net.
.           498957  IN  NS  m.root-servers.net.
;; Received 415 bytes from 10.137.1.1#53(10.137.1.1) in 55 ms

com.            172800  IN  NS  a.gtld-servers.net.
com.            172800  IN  NS  b.gtld-servers.net.
com.            172800  IN  NS  c.gtld-servers.net.
com.            172800  IN  NS  d.gtld-servers.net.
com.            172800  IN  NS  e.gtld-servers.net.
com.            172800  IN  NS  f.gtld-servers.net.
com.            172800  IN  NS  g.gtld-servers.net.
com.            172800  IN  NS  h.gtld-servers.net.
com.            172800  IN  NS  i.gtld-servers.net.
com.            172800  IN  NS  j.gtld-servers.net.
com.            172800  IN  NS  k.gtld-servers.net.
com.            172800  IN  NS  l.gtld-servers.net.
com.            172800  IN  NS  m.gtld-servers.net.
com.            86400   IN  DS  30909 8 2 E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CF C41A5766
com.            86400   IN  RRSIG   DS 8 1 86400 20170628220000 20170615210000 14796 . DGPIZzKyA+uBJAdMEKypVNz14HB/y5KZgCco2TP7BQUlkPv8CLNClNqj 2rEpN4ijCk1zk+oQfmQA5Ee35wbrrcwnGqfrRVRffJqRfu8aSRM5eiEA xEpQus8TaanF0FIkkx2CHQOil15nFRZTMtusOPTyxiwYaD5zxJZS0W1N dwbWVzxIwbL9jaImxVLc113cTl/nnnyKUaziCX6jk1/bOh1CrCjctxkp 2qNJ68b7QCIe11g9lmiBQMP2QGQK3aAP21I+bfNvHeGZ6nUADN+P/TsQ lWsM+YEni9W1LcAtc0DTqhHuzxSd6Y3WmMNPZc6FFnJnHR6CcWY+eh6x 3EUCZQ==
;; Received 866 bytes from 192.203.230.10#53(e.root-servers.net) in 201 ms

dekyfinweb.com.     172800  IN  NS  alpha.dekyfinweb.com.
dekyfinweb.com.     172800  IN  NS  gamma.dekyfinweb.com.
dekyfinweb.com.     172800  IN  NS  delta.dekyfinweb.com.
dekyfinweb.com.     86400   IN  DS  17815 8 2 FE6DDCE11D61B71AECABD8FFD57A58C3A86ACF17F699F210983A1809 13B17AD9
dekyfinweb.com.     86400   IN  RRSIG   DS 8 2 86400 20170622111241 20170615100241 27302 com. RQaEDdTFmYhnLTOpGPsaI+64VkFmoReqD+2uyDrMhWs0jpBUkcSIz10F gdEtep+hG4G1k1FHb9hvaWNrxfwzYiXXmbRaD5HiDdCPP8A8Qznuo0uY LV7A1cl2wq+Ivi20u216eoAieXjf5RJjyK7mdXuB6ssLJ8Z+6L5+ASDk 454=
;; Received 362 bytes from 192.33.14.30#53(b.gtld-servers.net) in 323 ms

dekyfinweb.com.     14400   IN  A   188.165.61.100
dekyfinweb.com.     14400   IN  NS  alpha.dekyfinweb.com.
dekyfinweb.com.     14400   IN  NS  delta.dekyfinweb.com.
dekyfinweb.com.     14400   IN  NS  gamma.dekyfinweb.com.
;; Received 167 bytes from 149.56.14.198#53(delta.dekyfinweb.com) in 206 ms

并且在该 IP 上仅显示 80 端口,显示“维护中”页面。

相关内容