几周前,我为一个三级域名启动了一个 powerdns 权威服务器。两周后,仍然有一些公共 dns 无法解析我的记录,例如 google (8.8.8.8) 可以解析,但 opendns (208.67.222.220) 无法解析。我尝试了一些在线 DNS 检查工具,我发现只有 50% 的公共 dns 可以处理我的记录。
我该如何理解原因?它可以连接到 DNSSEC 吗(我没有启用它)?
答案1
因此,看起来您已将控制权委托ep.cinebot.it.
给另一个名称服务器:
;; AUTHORITY SECTION:
ep.cinebot.it. 3600 IN NS mbox.cinebot.it.
ep.cinebot.it. 3600 IN NS srv1.cinebot.it.
;; ADDITIONAL SECTION:
mbox.cinebot.it. 3600 IN A 51.255.48.120
srv1.cinebot.it. 3600 IN A 51.255.48.120
;; SERVER: 213.251.128.129#53(213.251.128.129) ### ns10.ovh.net
现在存在一些问题:
您只有一个名称服务器;配置容易出错。您需要在不同的网络上至少有两个名称服务器(IANA权威名称服务器的技术要求)。
这个问题
51.255.48.120
并不能回答所有人status: SERVFAIL
。而不是。NXDOMAIN
有某种防火墙吗? 或者可能是 Fail2Ban 的配置太严格了?例如DNSViz 用于
test.ep.cinebot.it
主要显示没有DNSSECcinebot.it
(证明DNSSEC没有问题),还给出了明显的错误提示通信存在问题:ep.cinebot.it 区域:服务器未响应通过 TCP 的查询。(51.255.48.120)
我从(Cloudflare) 和(OpenDNS)
+trace
获得一致的结果,有时甚至从/ (Google) 获得一致的结果:1.1.1.1
208.67.222.220
8.8.8.8
8.8.4.4
$ dig test.ep.cinebot.it +trace +tcp @1.1.1.1 ;; communications error to 51.255.48.120#53: end of file ;; communications error to 51.255.48.120#53: end of file
这也让我检查了问题是否出在 UDP 与 TCP 连接上,但似乎您的服务器对和的回答都
dig +tcp
类似+notcp
:;; ANSWER SECTION: test.ep.cinebot.it. 60 IN A 93.42.126.242 ;; Query time: 27 msec ;; SERVER: 51.255.48.120#53(51.255.48.120)
此外,您的 TTL 极低(60 秒)。这意味着递归名称服务器不会长时间缓存响应,这强调了响应性和冗余名称服务器的重要性。
答案2
经过 Esa 的回答,我调试了一下,发现问题出在我的 DNS 后端。我发现“;; 通信错误到...”不是可达性问题,而是 DNS 服务器的空答案。
空答案的原因是 DNS 后端 (power-dsn with mysql) 错误。