我想寻求帮助。我有安装了 DNS 服务器的 Windows Server 2016。该服务器也是 DC。该服务器的工作方式类似于网络的递归 DNS 服务器,并启用了 DNSSEC 验证。此服务器具有公共 IPv4 和公共可路由 IPv6 地址。问题是,DNSSEC 验证需要很长时间。大多数网站服务器最初无法解析。Dig 返回 SERVFAIL,nslookup 给我:
*** UnKnown can not find website.com: Server failed
当我尝试解析该主机名并访问网站时,它突然开始工作。大约需要 5 分钟。之后,该网站就可以访问了。
我认为,最有可能的原因是 DNSSEC 验证花费的时间太长。当我查看服务器缓存时,从查找开始,该特定域有一些记录,但不是全部。我认为,最后一个 RR 签名 (RRSIG) 经过很长时间才出现在那里,当它最终出现时,查找就完成了,我可以查看该网站了。
当我启动 DNS 查找时,我可以在 DNS 缓存中看到以下内容:
有人能帮我吗?任何帮助我都会很感激。谢谢。
编辑:
我尤其对这些网站存在问题:
standardkonektivity.cz、dnssec.cz、nic.cz、mojeid.cz、turris.cz、jaknainternet.cz、domenovyprohlizec.cz、jaknainternet.cz它们都位于以下几个名称服务器上:a.ns.nic.cz, b.ns.nic.cz, c.ns.nic.cz, d.ns.nic.cz
。所有 Windows Server 2016 安装均会出现此问题。这看起来像是 Windows Server 2016 的问题。在 Windows Server 2012 R2 上使用相同配置时我没有遇到任何问题
我尝试了多个互联网连接,所以这不应该是 fw/gw 问题。
我没有遇到没有 DNSSEC 的域的问题
禁用 IPv6 后问题仍然存在。
网络配置应该没问题。我已经在具有不同配置的多个系统上测试过这一点
服务器上的时钟正常。
这是 DNSSEC 问题。当我在服务器上禁用 dnssec 时,一切正常。奇怪的是,当我在服务器上启用 dnssec 的情况下使用 +cd 标志时,解析也会失败。
顺便说一句……制作和发布这些屏幕截图之间存在时间间隔
dig +trace 标志的行为很奇怪。一旦它检索到“dig:无法获取‘a.ns.nic.cz’的地址:不再有”,现在它停止工作并且什么也没有检索到。