更换提供商后 DNS 仅部分正常工作

Question

DNS 不会传播，但会被缓存。每个递归名称服务器首先从自己的缓存中查找是否已经解析了其 TTL 内的记录，然后请求权威性服务器。这就是为什么您应该始终通过查询权威服务器，然后再查询父服务器来开始调试。

DNSSEC 已启用，但 Hostinger DNS 不支持它

在这种情况下，whois ecoguardfilters.com显示：

Name Server: NS1.DNS-PARKING.COM
Name Server: NS2.DNS-PARKING.COM
DNSSEC: signedDelegation

父区域具有 DNSSECDS记录：

;; ANSWER SECTION:
ecoguardfilters.com.  86400  IN  DS  54169 8 2 BA98A4F1210C30B65DA7C01E6B4A3385DBF1345E84FC7B635D3EB29D 8E187E4C
ecoguardfilters.com.  86400  IN  DS  54169 8 1 8F44699EA5A178F74071A349FAF0069527F9E9BC
ecoguardfilters.com.  86400  IN  DS  28279 8 1 0DB878191AAF675C098C0A71660EE20D09C7204E

但Hostinger 域名服务器尚未使用相应的密钥对区域进行签名：

; <<>> DiG <<>> ecoguardfilters.com RRSIG @ns1.dns-parking.com

;; ANSWER SECTION:
ecoguardfilters.com.    3789    IN      HINFO   "RFC8482" ""

从该答案来看，他们的名称服务器甚至不支持 DNSSEC。他们的支持表明：

你们提供 DNSSEC 吗？

如果您的域名在 Hostinger 注册并托管在其他地方，则可以在某些域名上启用 DNSSEC。并非所有域名都支持 DNSSEC，因此如需更多信息，请通过实时聊天联系我们的客户支持。

无法在 Hostinger 托管的域名上启用 DNSSEC。

有两个很棒的工具可用于测试和可视化 DNSSEC：

VeriSign 的 DNSSEC 分析器：ecoguardfilters.com
桑迪亚公司的DNSViz：ecoguardfilters.com

DNSSEC 迁移

通常情况下，您只需在新名称服务器上配置 DNSSEC 并更新DS记录即可。使用 DNSSEC，正确的顺序非常重要！从以下链接略作缩短和修改朱尼尔·佩恩的DNSSEC 和 DNS 迁移：如何在不中断 DNSSEC 的情况下迁移 DNS：

在新提供商上准备 DNSSEC：配置区域并进行签名。

添加获取 DNS 服务提供商的 DS 记录并等待 TTL。
此当前状态将验证丢失和获取 DNS 服务提供商的 ZSK。此时，对新名称服务器的委托尚未更改。在此配置中，需要使用获取 DNS 服务提供商重新签署区域并等待缓存过期（DS 记录的 TTL）。

将区域的委派更改为获取 DNS 服务提供商。

删除丢失的 DNS 服务提供商的 DS 记录
一旦您确定不再有任何引用丢失 DNS 服务提供商的缓存 DS 记录，就可以从注册表中删除丢失 DNS 服务提供商的 DS 记录。

埃伦德·艾德，没有意识到这种可能性，给出了另一条路径如何在启用 DNSSEC 的情况下迁移 DNS 区域的名称服务器虽然 Junior Payne 的说法更正确，但如果新提供商不支持配置 DNSSEC 预先委派，则此替代方案可能是唯一的可能性：

在注册商处禁用 DNSSEC

等待 24 小时

在名称服务器上禁用 DNSSEC（删除 DS 记录）

切换名称服务器

等待 24 小时

重新启用 DNSSEC

为您提供解决方案

由于 Hostinger 不支持 DNSSEC，因此使用其 DNS 时您应该在注册商处禁用 DNSSEC。
如果您希望继续使用 DNSSEC，请不要将您的 DNS 移至 Hostinger（即将其移回或寻找其他 DNS 提供商），而只将您的网站指向他们的服务器。

Answer 1

DNS 不会传播，但会被缓存。每个递归名称服务器首先从自己的缓存中查找是否已经解析了其 TTL 内的记录，然后请求权威性服务器。这就是为什么您应该始终通过查询权威服务器，然后再查询父服务器来开始调试。

DNSSEC 已启用，但 Hostinger DNS 不支持它

在这种情况下，whois ecoguardfilters.com显示：

Name Server: NS1.DNS-PARKING.COM
Name Server: NS2.DNS-PARKING.COM
DNSSEC: signedDelegation

父区域具有 DNSSECDS记录：

;; ANSWER SECTION:
ecoguardfilters.com.  86400  IN  DS  54169 8 2 BA98A4F1210C30B65DA7C01E6B4A3385DBF1345E84FC7B635D3EB29D 8E187E4C
ecoguardfilters.com.  86400  IN  DS  54169 8 1 8F44699EA5A178F74071A349FAF0069527F9E9BC
ecoguardfilters.com.  86400  IN  DS  28279 8 1 0DB878191AAF675C098C0A71660EE20D09C7204E

但Hostinger 域名服务器尚未使用相应的密钥对区域进行签名：

; <<>> DiG <<>> ecoguardfilters.com RRSIG @ns1.dns-parking.com

;; ANSWER SECTION:
ecoguardfilters.com.    3789    IN      HINFO   "RFC8482" ""

从该答案来看，他们的名称服务器甚至不支持 DNSSEC。他们的支持表明：

你们提供 DNSSEC 吗？

如果您的域名在 Hostinger 注册并托管在其他地方，则可以在某些域名上启用 DNSSEC。并非所有域名都支持 DNSSEC，因此如需更多信息，请通过实时聊天联系我们的客户支持。

无法在 Hostinger 托管的域名上启用 DNSSEC。

有两个很棒的工具可用于测试和可视化 DNSSEC：

VeriSign 的 DNSSEC 分析器：ecoguardfilters.com
桑迪亚公司的DNSViz：ecoguardfilters.com

DNSSEC 迁移

通常情况下，您只需在新名称服务器上配置 DNSSEC 并更新DS记录即可。使用 DNSSEC，正确的顺序非常重要！从以下链接略作缩短和修改朱尼尔·佩恩的DNSSEC 和 DNS 迁移：如何在不中断 DNSSEC 的情况下迁移 DNS：

在新提供商上准备 DNSSEC：配置区域并进行签名。

添加获取 DNS 服务提供商的 DS 记录并等待 TTL。
此当前状态将验证丢失和获取 DNS 服务提供商的 ZSK。此时，对新名称服务器的委托尚未更改。在此配置中，需要使用获取 DNS 服务提供商重新签署区域并等待缓存过期（DS 记录的 TTL）。

将区域的委派更改为获取 DNS 服务提供商。

删除丢失的 DNS 服务提供商的 DS 记录
一旦您确定不再有任何引用丢失 DNS 服务提供商的缓存 DS 记录，就可以从注册表中删除丢失 DNS 服务提供商的 DS 记录。

埃伦德·艾德，没有意识到这种可能性，给出了另一条路径如何在启用 DNSSEC 的情况下迁移 DNS 区域的名称服务器虽然 Junior Payne 的说法更正确，但如果新提供商不支持配置 DNSSEC 预先委派，则此替代方案可能是唯一的可能性：

在注册商处禁用 DNSSEC

等待 24 小时

在名称服务器上禁用 DNSSEC（删除 DS 记录）

切换名称服务器

等待 24 小时

重新启用 DNSSEC

为您提供解决方案

由于 Hostinger 不支持 DNSSEC，因此使用其 DNS 时您应该在注册商处禁用 DNSSEC。
如果您希望继续使用 DNSSEC，请不要将您的 DNS 移至 Hostinger（即将其移回或寻找其他 DNS 提供商），而只将您的网站指向他们的服务器。

更换提供商后 DNS 仅部分正常工作

答案1

DNSSEC 已启用，但 Hostinger DNS 不支持它

DNSSEC 迁移

为您提供解决方案

相关内容