DNSSEC 查找需要很长时间(Windows Server)

DNSSEC 查找需要很长时间(Windows Server)


我想寻求帮助。我有安装了 DNS 服务器的 Windows Server 2016。该服务器也是 DC。该服务器的工作方式类似于网络的递归 DNS 服务器,并启用了 DNSSEC 验证。此服务器具有公共 IPv4 和公共可路由 IPv6 地址。问题是,DNSSEC 验证需要很长时间。大多数网站服务器最初无法解析。Dig 返回 SERVFAIL,nslookup 给我:

     *** UnKnown can not find website.com: Server failed

当我尝试解析该主机名并访问网站时,它突然开始工作。大约需要 5 分钟。之后,该网站就可以访问了。

我认为,最有可能的原因是 DNSSEC 验证花费的时间太长。当我查看服务器缓存时,从查找开始,该特定域有一些记录,但不是全部。我认为,最后一个 RR 签名 (RRSIG) 经过很长时间才出现在那里,当它最终出现时,查找就完成了,我可以查看该网站了。

当我启动 DNS 查找时,我可以在 DNS 缓存中看到以下内容: 开始 DNS 查找

几分钟后翻译完成,我可以看到: DNS 查找完成

有人能帮我吗?任何帮助我都会很感激。谢谢。

编辑:

我尤其对这些网站存在问题: standardkonektivity.cz、dnssec.cz、nic.cz、mojeid.cz、turris.cz、jaknainternet.cz、domenovyprohlizec.cz、jaknainternet.cz它们都位于以下几个名称服务器上:a.ns.nic.cz, b.ns.nic.cz, c.ns.nic.cz, d.ns.nic.cz

。所有 Windows Server 2016 安装均会出现此问题。这看起来像是 Windows Server 2016 的问题。在 Windows Server 2012 R2 上使用相同配置时我没有遇到任何问题

我尝试了多个互联网连接,所以这不应该是 fw/gw 问题。

我没有遇到没有 DNSSEC 的域的问题

禁用 IPv6 后问题仍然存在。

网络配置应该没问题。我已经在具有不同配置的多个系统上测试过这一点

服务器上的时钟正常。

这是 DNSSEC 问题。当我在服务器上禁用 dnssec 时,一切正常。奇怪的是,当我在服务器上启用 dnssec 的情况下使用 +cd 标志时,解析也会失败。

顺便说一句……制作和发布这些屏幕截图之间存在时间间隔

dig +trace 标志的行为很奇怪。一旦它检索到“dig:无法获取‘a.ns.nic.cz’的地址:不再有”,现在它停止工作并且什么也没有检索到。

相关内容