我最近将我的一个域名移到了另一台服务器上。已经过去一周多了,DNS 仍未完全传播,似乎卡住了,过去 3 天没有任何变化
我是否做错了什么?有什么可以帮忙的吗?
以下是当前的传播状态:https://dnschecker.org/#A/lettresnoires.com
答案1
如图所示https://dnsviz.net/d/lettresnoires.com/Xsscfw/dnssec/您的 DNSSEC 配置错误。您正在DS父级(注册表)中发布记录,但您没有DNSKEY在您的区域中发布相关记录。这类似于不充分的委派,只不过在 DNSSEC 情况下,任何此类故障都会遇到致命的完全错误,就NXDOMAIN好像您的域名根本不存在一样。
dig您可以使用禁用 DNSSEC的标志轻松地自行调试+cd:如果某些东西不起作用,但是如果您添加+cd它则起作用,这很可能是与 DNSSEC 相关的问题:
$ dig @9.9.9.9 lettresnoires.com NS | grep -A 1 "Got answer:"
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 56010
$ dig @9.9.9.9 lettresnoires.com NS +cd +noall +ans
lettresnoires.com. 58m48s IN NS ns1.ssdlinux33.com.
lettresnoires.com. 58m48s IN NS ns2.ssdlinux33.com.
没有任何卡住或传播的情况,因为它们在 DNS 中不存在。
您当前的配置是错误的,除非您采取行动,否则任何事情都不会自行修复。您的 DNS 提供商 ( ssdlinux33.com) 应该能够帮助您(如果不是您直接提供的话)。
根据您的问题,DNSSEC 似乎不是您想要的,因为您没有正确管理它。在这个阶段,最好删除 DNSSEC 配置,直到您更好地理解情况。
为此,您需要通过您的注册商:
$ wget -qO - https://rdap.verisign.com/com/v1/domain/lettresnoires.com | jq '.entities[0].vcardArray[1][1][3]'
"Name.com, Inc."
搜索全球注册商列表https://www.internic.net/alpha.html显示其网站https://www.name.com/
因此,请前往您的注册商,找到面板和更改 DNSSEC/DS 记录的选项,然后删除您在那里看到的 DS 记录。然后,您的注册商会将该订单发送给注册中心,注册中心将停止发布记录DS,之后一切都会开始正常工作(或者至少您不会因 DNSSEC 而出现硬故障)。
由于目前记录是这样发布的:
$ dig @a.gtld-servers.com DS lettresnoires.com +noall +ans
lettresnoires.com. 1d IN DS 28675 13 2 (
23F5FFCB9D04679D525EDBFDEB0A1F8CD42C8B933F89
F9CBCC2B1F7EA6F3116C )
这意味着您需要等待最多 1 天(这是1d回复中的第一个令牌),在您在注册商处进行更改后,您会发现注册中心不再发布该记录(上述dig查询可以轻松显示记录是否已发布)。
答案2
这可能是 DNSSEC 问题。我注意到查询中返回了 NSEC3 和 RRSIG dig +trace lettresnoires.com @8.8.8.8。我去了https://dnssec-analyzer.verisignlabs.com/lettresnoires.com检查并报告了一些问题。您可能需要解决这些 DNSSEC 问题,或者从您的域中删除 DNSSec。
旧答案
做了一点“挖掘”(没有双关语的意思),根“.com”服务器似乎都知道您当前的名称服务器(使用dig +trace lettresnoires.com,然后手动查询从 a.gtld-servers.net 到 m.gtld-servers.net 的所有服务器)。看起来您的 DNS 记录只有两个小时的 TTL,对于过渡状态来说有点长,但肯定不是几天。
您是否收到过有关网站转换的用户投诉?我手动检查了其中一台报告您的网站不可用的服务器 - 并且 DNS 解析对您的域运行正常。(dig -t a lettresnoires.com @208.67.222.220),这是报告故障的美国纽约州霍尔茨维尔位置。也许 DNS 检查器不起作用?
答案3
只需禁用 DNSSEC,如果您不是网络主机,您可能不需要它。