为什么许多 DNS 服务器无法正确返回我的域名的名称服务器?

tag-icon tag-icon domain-name-system nameserver isp
为什么许多 DNS 服务器无法正确返回我的域名的名称服务器?

我的网站已经完全无法访问了,但我不知道原因。

直到最近,我一直通过 cloudflare 为我的网站提供服务,因此使用的是他们的名称服务器。最近我开始使用 Route 53,因此我使用注册商的控制面板将名称服务器更改为 Amazon 的名称服务器,结果发现我的网站很快就不可用了(我在英国)。

我用了https://www.whatsmydns.net发现世界各地的一些 DNS 服务器没有返回任何适用于我网站的域名服务器。每次我尝试时,返回的都是相同的位置,包括伦敦、圣保罗、德国、新西兰和美国部分地区。不过大多数位置(约 3/4)都正常。

当时我使用 hover.com 作为我的注册商,我认为问题可能出在他们身上,所以我将注册商换成了亚马逊。转移到亚马逊后,我将域名服务器改回 Cloudflare 的域名服务器,等待它传播,然后再次检查 whatsmydns.net。它在所有位置都显示为绿色。然后我又改回了亚马逊的域名服务器。问题与以前完全相同,DNS 查询未返回相同位置的域名服务器。

我更改了 Mac 笔记本电脑上的 DNS 服务器,使用以下 DNS 服务器时可以访问我的网站:

  • Sky(我的宽带提供商)- 90.207.238.97 和 90.207.238.99
  • OpenDNS主页 - 208.67.222.222 208.67.220.220

但是使用以下 DNS 服务器时我的网站无法访问

  • Google - 8.8.8.8 和 8.8.4.4
  • Cloudflare - 1.1.1.1 和 1.0.0.1
  • Quad9 - 9.9.9.9 和 149.112.112.112
  • CleanBrowsing - 185.228.168.9 和 185.228.169.9
  • Adguard - 176.103.130.130 和 176.103.130.131
  • Verisign - 64.6.64.6 和 185.253.163.131

我尝试使用的名称服务器是:

  • ns-1478.awsdns-56.org
  • ns-1953.awsdns-52.co.uk
  • ns-135.awsdns-16.com
  • ns-893.awsdns-47.net

我读到过一些大型 ISP 将其 DNS 服务器配置为违反规则,例如,仅因为其中一个名称服务器没有响应,就指示域名不存在。为了尝试诊断是否发生了这种情况,并且 4 个名称服务器中的一个存在问题,我昨天将其更改为仅使用上面列表中的前 2 个名称服务器,如果仍然有问题,则打算仅使用后两个。但是,即使此更改有足够的时间来传播(编辑:考虑到 TTL,可能没有,但它肯定比我在 Amazon 和 Cloudflare 之间更改名称服务器以及反之亦然时慢),whatsmydns.net 显示绝大多数 DNS 服务器仍返回所有 4 个名称服务器。我不确定为什么会发生这种情况。

发生了什么事!我的网站是https://www.markfisher.photo

答案1

我快速看了一下,你的区域的主要问题似乎是来自父区域的委派(photo)表示markfisher.photo应该签名(DS记录存在)。

markfisher.photo然而,它根本没有签名。结果就是,任何验证解析器都会认为所有答案都是假的,并丢弃它们。

据我所知,Route53 仍然不支持 DNSSEC,这意味着如果您想使用该 DNS 服务,您需要DS从委派中删除所有记录(通过您的注册商完成)。

分两步演示该问题:

$ dig @ns1.uniregistry.net markfisher.photo +norec +dnssec

; <<>> DiG 9.11.13-RedHat-9.11.13-3.fc31 <<>> @ns1.uniregistry.net markfisher.photo +norec +dnssec
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55361
;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
; COOKIE: 60e53f6e7a4d79f37a0879a75e14e274510b02d97b10da1c (good)
;; QUESTION SECTION:
;markfisher.photo.              IN      A

;; AUTHORITY SECTION:
markfisher.photo.       900     IN      NS      ns-1478.awsdns-56.org.
markfisher.photo.       900     IN      NS      ns-1953.awsdns-52.co.uk.
markfisher.photo.       900     IN      DS      2371 13 2 B1FB8D1E60D7B54027829321A64B612251F95A41C0F10C912FA9FC6A 9EECEEA5
markfisher.photo.       900     IN      RRSIG   DS 5 2 900 20200206185213 20200107185213 21795 photo. AN2TWw41LL15uX55vfNaQlHvidlpngYb629gSlEyP+A3JiS77NHO5TvJ gI5QF4si5/haBEoABpuVU8opxxC0Jmv3aD09NkwjZXoqikxDqwjzO/PD wNlvHKOb25fgb1+gKj3JaGvqtAD8m+m2xotmxRo74xPmb2XOvEsGUS25 Cxc=

;; Query time: 94 msec
;; SERVER: 2620:57:4000:1::1#53(2620:57:4000:1::1)
;; WHEN: Tue Jan 07 19:56:36 UTC 2020
;; MSG SIZE  rcvd: 358

$

(带记录的引用DS,表明该markfisher.photo区域已使用匹配的密钥签名)

$ dig @ns-1478.awsdns-56.org markfisher.photo DNSKEY +norec +dnssec

; <<>> DiG 9.11.13-RedHat-9.11.13-3.fc31 <<>> @ns-1478.awsdns-56.org markfisher.photo DNSKEY +norec +dnssec
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54714
;; flags: qr aa; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;markfisher.photo.              IN      DNSKEY

;; AUTHORITY SECTION:
markfisher.photo.       900     IN      SOA     ns-893.awsdns-47.net. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400

;; Query time: 79 msec
;; SERVER: 2600:9000:5305:c600::1#53(2600:9000:5305:c600::1)
;; WHEN: Tue Jan 07 19:58:44 UTC 2020
;; MSG SIZE  rcvd: 129

$

(权威服务器响应,显示没有DNSKEY记录,也没有任何签名)


为了快速了解 DNS 委派以及 DNSSEC 健康状况,我可以推荐德斯维兹

答案2

答案很简单...DNSSEC ;-)

我已经检查过了,您的域名在上层(照片)有可用的 DNSSEC 签名公钥。这意味着它已启用 DNSSEC,但在您更改服务器后,没有(或者如果您愿意 - 无效)DNSSEC签名...

从技术上来说,该记录是正确的,但未通过 DNSSEC 的“有效性”检查。因此,它被忽略了。

你必须(其中之一):

  • 开始签署区域并更新照片上的公钥。域级别
  • 删除公钥 => 禁用区域的 DNSSEC

两者都与您的域名注册商界面相关,因为此信息不是位于 markfisher.photo.zone 中,而是位于 photo.zone(原则上已委托),如包含将使用哪些服务器的 NS 记录。

$ dig www.markfisher.photo @9.9.9.9

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> www.markfisher.photo @9.9.9.9
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 38974
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.markfisher.photo.      IN  A

;; Query time: 305 msec
;; SERVER: 9.9.9.9#53(9.9.9.9)
;; WHEN: Út led 07 21:15:44 CET 2020
;; MSG SIZE  rcvd: 49

...并禁用DNSSEC检查:

$ dig +cdflag www.markfisher.photo @9.9.9.9

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> +cdflag www.markfisher.photo @9.9.9.9
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26962
;; flags: qr rd ra cd; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.markfisher.photo.      IN  A

;; ANSWER SECTION:
www.markfisher.photo.   298 IN  CNAME   markfisher.photo.
markfisher.photo.   60  IN  A   54.240.168.66
markfisher.photo.   60  IN  A   54.240.168.56
markfisher.photo.   60  IN  A   54.240.168.98
markfisher.photo.   60  IN  A   54.240.168.51

;; Query time: 1770 msec
;; SERVER: 9.9.9.9#53(9.9.9.9)
;; WHEN: Út led 07 21:14:43 CET 2020
;; MSG SIZE  rcvd: 127

相关内容