75.75.75.75 (Comcast DNS) 无法解析 ironpawsllc.com

tag-icon tag-icon domain-name-system centos dns-zone powerdns
75.75.75.75 (Comcast DNS) 无法解析 ironpawsllc.com

IronPawsLLC.com 无法 ping 通,给出 NXDOMAIN,使用 dig @75.75.75.75 ironpawsllc.com 时,结果为 0。到目前为止,我测试过的所有其他 DNS 服务器都已解析。IronPawsLLC.com 是运行 CPanel、Centos7 和 PowerDNS 的 HostGator VPS4000。CPanel 和 HostGator 已反复查看过它。Comcast 表示他们不知道发生了什么。

IronPawsLLC.com 的 IP 162.240.41.15 不在任何黑名单中,包括 Comcasts。如果这有任何影响,服务器已从 108.179.251.79 迁移。

为了简洁起见并作为起点,我仅列出一些 DNS 配置细节。

DNS 区域包括:

162-240-41-15.www.hostgator.com
41.240.162.in-addr.arpa
cloud-ci.unifiedlayer.com
ironpawsllc.com

DNS 粘合剂是:

ironpawsllc.com.    3600    SOA 
Serial: 2022020103
Mname: ns1.ironpawsllc.com
Retry: 1800
Refresh: 3600
Expire: 1209600
Rname: [email protected]

ironpawsllc.com.    3600    NS  ns1.ironpawsllc.com
ironpawsllc.com.    3600    NS  ns2.ironpawsllc.com
ironpawsllc.com.    3600    A   162.240.41.15
ns1.ironpawsllc.com.    3600    A   162.240.41.15
ns2.ironpawsllc.com.    3600    A   162.240.41.68
5594881.ironpawsllc.com.    14400   A 162.240.41.15

我对服务器管理还很陌生,任何见解都值得赞赏。

答案1

您的域名配置不正确,您有一个 DNSSEC 问题,所以问题不在于您使用的递归解析器(无论哪个),而是在于域名本身,您需要修复它。

请参阅 DNSViz 分析https://dnsviz.net/d/ironpawsllc.com/YfurFA/dnssec/(您有 9 个错误需要修复)但也很容易证明,只需使用任何验证解析器并将答案与启用的默认“DNSSEC 验证”进行比较,然后明确禁用它:

$ dig @9.9.9.9 ironpawsllc.com NS

; <<>> DiG 9.16.25 <<>> @9.9.9.9 ironpawsllc.com NS
; (1 server found)
;; global options: +cmd
;; Sending:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58418
;; flags: rd ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 5c89ab72fd28093b
;; QUESTION SECTION:
;ironpawsllc.com.   IN NS

;; QUERY SIZE: 56

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 58418

SERVFAIL可能是很多原因,但对于任何 DNSSEC 问题也是如此,如果禁用 DNSSEC 验证(标志+cd):

$ dig @9.9.9.9 ironpawsllc.com NS +cd

; <<>> DiG 9.16.25 <<>> @9.9.9.9 ironpawsllc.com NS +cd
; (1 server found)
;; global options: +cmd
;; Sending:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2142
;; flags: rd ad cd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 4c56f2c5e1caa672
;; QUESTION SECTION:
;ironpawsllc.com.   IN NS

;; QUERY SIZE: 56

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2142
;; flags: qr rd ra cd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
; EDE: 9 (DNSKEY Missing)
;; QUESTION SECTION:
;ironpawsllc.com.   IN NS

;; ANSWER SECTION:
ironpawsllc.com.    1h IN NS ns1.ironpawsllc.com.
ironpawsllc.com.    1h IN NS ns2.ironpawsllc.com.

;; Query time: 366 msec
;; SERVER: 9.9.9.9#53(9.9.9.9)
;; WHEN: Thu Feb 03 11:17:07 CET 2022
;; MSG SIZE  rcvd: 86

事实上,对于同一个验证解析器上的同一个查询,在+cd禁用检查的情况下可以正常工作,但在没有检查的情况下则无法工作,这表明 DNSSEC 在域上被破坏的可能性为 99.99%,并且上面的 DNSViz 页面很好地显示和解释了这一点,我在此处附上了结果图表:

DNSViz 输出

注意:您甚至会在输出中看到dig一个表示扩展 DNS 错误的“EDE”,这是 DNS 领域最近添加的一个功能,但并非所有名称服务器都支持,但在这里它会立即告诉您 DNSSEC 问题:EDE: 9 (DNSKEY Missing)

至于

我对服务器管理还很陌生,任何见解都值得赞赏。

如果您是 DNS 新手,尤其是 DNS 故障排除新手,最好完全远离 DNSSEC,或者让一些外部提供商完全处理您的 DNS,而您无需做任何事情。现在,您要么完全删除 DNSSEC,要么设置适当的密钥和摘要。在这两种情况下,您都需要通过您的注册商来删除/更新注册商稍后将发布的 DS 数据。您的 DNS 提供商应该会帮助您完成此操作。

相关内容