我们在 RHEL/CentOS 上运行 bind9,我们的一个国际办事处拥有自己的身份验证和缓存服务器,但由于某种原因无法解析 lenovo.com。如果该办事处使用谷歌 DNS,它可以正常工作,但使用他们自己的 DNS 缓存服务器,它无法解析。命令 dig 和 nslookup 给出超时。虽然 dig 和 trace 能够得到最终答案。日志中没有任何内容表明存在问题。此外,这是我们无法解析的唯一地址,其他一切都正常。
有人能提供一些建议吗?谢谢
答案1
您应该发布您的 DNS 配置详细信息,以便我们查看其中是否有任何错误。应该为仅缓存 DNS 服务器启用递归(应该允许受信任的用户使用,否则,您最终可能会遭受 DNS 放大攻击)。您需要检查的第二件事是 UDP 端口 53。您的 ISP 可能会由于过多的 DNS 查询而阻止此端口。
答案2
确保dig在指定查询的名称服务器时使用(dig跟踪从根目录再次启动,因此这会绕过您的本地缓存解析器)。如果确实超时,请执行网络跟踪以验证 DNS 数据包是否从运行命令的机器发出dig,并且您没有收到任何 DNS 数据包。
这意味着网络上的某些东西可能正在过滤这些数据包。或者,如果您可以访问本地解析器,请以相同的方式进行网络跟踪,以查看它是否获取了查询的 DNS 数据包。查看它是否在本地生成 DNS 回复。如果是,则网络正在过滤回复。如果不是,但 DNS 查询数据包到达解析器,则 DNS 解析器会做一些奇怪的事情,如果没有 DNS 查询数据包到达解析器,则意味着网络再次在路由过程中吞噬了数据包。
答案3
确保您的缓存解析器已启用递归(并且仅供内部用户访问)并具有根提示区域文件。如果没有根提示,DNS 服务器将无法解析任何未知的内容。
https://www.cyberciti.biz/faq/unix-linux-update-root-hints-data-file/