无法访问某些子域名网站?DNS NSEC3 问题?

无法访问某些子域名网站?DNS NSEC3 问题?

于 2017-10-25 编辑。原始问题具有误导性。

我们有一个在子域名上运行的网站http://admin.gigantisch.nl/自从 gigantisch.nl 域名更改 IP 地址以来,我们admin在各种设备和网络上访问子域名时一直遇到问题。实验和诊断工具似乎表明这是一个 DNS 问题。

过去几天,我们曾多次成功访问该网站,但这似乎是由于我们各种设备(包括路由器)上的缓存 DNS 记录造成的。也可能是由于我们的 ISP 的 DNS 服务器和 Google 的公共 DNS 服务器都缓存了记录。

通过在线诊断工具运行时:http://dnsviz.net/d/admin.gigantisch.nl/dnssec/,这表明 NSEC3 记录存在问题。我不知道这个记录是什么,也不知道如何管理它。我们的域名注册商的 DNS 区域编辑器面板上没有关于 NSEC 记录的任何信息。

让这一切变得更加令人困惑的是,我们的另一个网站在子域名上运行:http://backoffice.gigantisch.nl/,没有这些问题。

 
原始问题:

在这间办公室,我们主网站的子域名上有一个网站,我们可以通过 wifi 连接访问,但不能通过有线网络访问。我也可以使用手机上的蜂窝数据访问它。

该网站的地址是:http://admin.gigantisch.nl/

整个域最近更改了 IP 地址,因此这里可能存在某种 DNS 问题。使用 Google 的 DNS 工具验证后 (https://dns.google.com/query?name=admin.gigantisch.nl&type=CNAME&dnssec=true),其“评论”部分指出:“DNSSEC验证失败。请检查http://dnsviz.net/d/admin.gigantisch.nl/dnssec/“”。
工具给出了以下错误:

“NSEC3 证明 admin.gigantisch.nl/A 不存在:NSEC3 RR 涵盖通配符本身 (*.gigantisch.nl),表明它不存在。NSEC3
证明 admin.gigantisch.nl/A 不存在:NSEC3 RR 涵盖通配符本身 (*.gigantisch.nl),表明它不存在。”

我猜这至少表明存在 DNS 问题?

更奇怪的是,我们的其他网站没有这些问题,http://backoffice.gigantisch.nl。DNSViz 工具也没有指出该子域名的任何错误或警告。

我在想也许 gigantisch.nl 域的旧 DNS 记录已被有线路由器缓存,但我对其进行了软重启,却无济于事。

有线网络和无线网络的 DNS 服务器似乎都设置为 Google 的服务器,8.8.8.8 和 8.8.4.4。

*.gigantisch.nl 设置了 DNS A 记录,但两个子域名均未设置。

此外,当我在客户端上运行 Windows 10 的网络诊断时,我收到:“您的 DNS 服务器可能不可用”。不过我似乎没有遇到任何其他连接问题,所以这可能与当前的问题无关。

有想法吗?

编辑:当我设置本地连接以使用 ISP 的默认 DNS 服务器 62.179.104.196 和 213.46.228.196 时,我可以访问http://admin.gigantisch.nl/没有问题。但是,当我设置路由器以使用这些 DNS 服务器时,我再次无法访问它,即 Chrome 向我显示错误ERR_NAME_RESOLUTION_FAILED

修改 2:我尝试过的无线网络上的设备似乎缓存了(子)域名的旧 DNS 解析。例如,在 Chrome 的隐身标签页中将其加载到经过积极测试的移动设备之一上,结果显示:“无法访问此站点”,并伴随DNS_PROBE_FINISHED_NXDOMAIN。(相比之下,有线网络上的 Windows 客户端上的 Chrome 则显示:ERR_NAME_RESOLUTION_FAILED。)

答案1

  • 修改后您是否重新对区域进行了签名?

  • 您是否等待过TTL缓存过期?

当前错误表明有一条 NSEC3 记录证明主机名不存在:

描述:NSEC3 记录证明 NSEC3 不存在(NXDOMAINadmin.gigantisch.nlE8KJKO07GL57FJK7N58R9HEFDCO38OG8.gigantisch.nl. IN NSEC3 1 0 1 ab HM79JAC9O3DEMLPKUBMF4IUEV63450TB CNAME RRSIG

NSEC3 RR 覆盖了通配符本身(*.gigantisch.nl),表明它不存在。

重启路由器不会清除 Google Public DNS(8.8.8.88.8.4.4)上的缓存。这不是本地问题,而是任何路由器上都存在的问题递归名称服务器它实施 DNSSEC 验证,直到在权威服务器上修复并且在其间的任何缓存上过期。

答案2

您的本地有线网络肯定存在 DNS 问题,而且很可能是路由器出了问题。显然,路由器作为 DNS 转发器/缓存服务器的功能已损坏或根本不起作用。

一个可以尝试的快速解决方案是将路由器的 dhcp 选项从 google dns 更改为 ISP 名称服务器,以便每个客户端自动获取有效的 dns 服务器 ip。每个客户端都需要续订其 dhcp 租约才能使更改生效。

如果您想排除路由器故障,并且您拥有所有必要的信息,请尝试将其恢复出厂设置,然后重新配置并查看。如果问题仍然存在,那么您别无选择,只能联系您的服务提供商。

答案3

rectify-zone联系您的注册商的支持人员。他们需要执行一项操作,之后问题就会消失。

根据我们的注册商的说法,rectify-zone每次对 DNS 记录进行更改时,该操作都会从他们的终端自动执行。通常无法从注册商的管理面板执行。显然,整个问题源于他们终端的故障,导致无法执行rectify-zone

相关内容