Domain-Name-System

為什麼許多 DNS 伺服器沒有正確返回我的域的 namservers?

  • January 7, 2020

我的網站已廣泛無法訪問,我不知道為什麼。

直到最近,我一直通過 cloudflare 為我的網站提供服務,所以也使用他們的名稱伺服器。最近我開始使用 Route 53,所以我使用註冊商的控制面板更改為 Amazon 的名稱伺服器,發現我的網站很快變得不可用(我在英國)。

我使用https://www.whatsmydns.net發現世界各地的一些 DNS 伺服器沒有為我的網站返回任何 namservers。每次我嘗試的地點都是相同的,包括倫敦、聖保羅、德國、紐西蘭和美國的部分地區。不過,大多數位置(大約 3/4)都很好。

當時我使用 hover.com 作為我的註冊商,我認為問題可能與他們有關,所以我將註冊商切換到亞馬遜。轉移到 Amazon 後,我將域名伺服器改回 Cloudflare 的域名伺服器,等待它傳播,然後再次查看 whatsmydns.net。它在所有位置都顯示為綠色。然後我改回亞馬遜的域名伺服器。問題與以前完全相同,DNS 查詢未在相同位置返回名稱伺服器。

我已經更改了我的 Mac 筆記型電腦上的 DNS 伺服器,並且可以在使用以下 DNS 伺服器時訪問我的網站:

  • 天空(我的寬頻提供商) - 90.207.238.97 和 90.207.238.99
  • OpenDNS 首頁 - 208.67.222.222 208.67.220.220

但是使用以下 DNS 伺服器時,我的網站無法訪問

  • Google - 8.8.8.8 和 8.8.4.4
  • Cloudflare - 1.1.1.1 和 1.0.0.1
  • Quad9 - 9.9.9.9 和 149.112.112.112
  • 清潔瀏覽 - 185.228.168.9 和 185.228.169.9
  • Adguard - 176.103.130.130 和 176.103.130.131
  • 威瑞信 - 64.6.64.6 和 185.253.163.131

我嘗試使用的名稱伺服器是:

  • ns-1478.awsdns-56.org
  • ns-1953.awsdns-52.co.uk
  • ns-135.awsdns-16.com
  • ns-893.awsdns-47.net

我讀到一些大型 ISP 已將其 DNS 伺服器配置為違反規則,例如僅因為其中一個名稱伺服器沒有響應就表明域名不存在。為了嘗試診斷是否發生這種情況,並且 4 個名稱伺服器中的一個出現問題,我昨天更改為僅使用上面列表中的前 2 個名稱伺服器,如果仍然存在問題,則打算僅使用後兩個. 然而,即使這種變化有足夠的時間來傳播(編輯:也許不是,考慮到 TTL,但它肯定比我在亞馬遜和 Cloudflare 之間更改名稱伺服器時慢,反之亦然),whatsmydns.net 表明大多數 DNS 伺服器仍在返回所有 4 個名稱伺服器。我不確定為什麼會這樣。

到底是怎麼回事!我的網站是https://www.markfisher.photo

我快速瀏覽了一下,您的區域的主要問題似乎是來自父區域 ( photo) 的代表團表明markfisher.photo應該簽名(DS存在記錄)。

markfisher.photo但是根本沒有簽名。這樣做的結果是任何驗證解析器都會認為所有答案都是虛假的並丟棄它們。

據我所知,Route53 仍然不支持 DNSSEC,這意味著如果您想使用該 DNS 服務,您需要DS從委託中刪除任何記錄(通過您的註冊商完成)。

分兩步展示問題:

$ dig @ns1.uniregistry.net markfisher.photo +norec +dnssec

; <<>> DiG 9.11.13-RedHat-9.11.13-3.fc31 <<>> @ns1.uniregistry.net markfisher.photo +norec +dnssec
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55361
;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
; COOKIE: 60e53f6e7a4d79f37a0879a75e14e274510b02d97b10da1c (good)
;; QUESTION SECTION:
;markfisher.photo.              IN      A

;; AUTHORITY SECTION:
markfisher.photo.       900     IN      NS      ns-1478.awsdns-56.org.
markfisher.photo.       900     IN      NS      ns-1953.awsdns-52.co.uk.
markfisher.photo.       900     IN      DS      2371 13 2 B1FB8D1E60D7B54027829321A64B612251F95A41C0F10C912FA9FC6A 9EECEEA5
markfisher.photo.       900     IN      RRSIG   DS 5 2 900 20200206185213 20200107185213 21795 photo. AN2TWw41LL15uX55vfNaQlHvidlpngYb629gSlEyP+A3JiS77NHO5TvJ gI5QF4si5/haBEoABpuVU8opxxC0Jmv3aD09NkwjZXoqikxDqwjzO/PD wNlvHKOb25fgb1+gKj3JaGvqtAD8m+m2xotmxRo74xPmb2XOvEsGUS25 Cxc=

;; Query time: 94 msec
;; SERVER: 2620:57:4000:1::1#53(2620:57:4000:1::1)
;; WHEN: Tue Jan 07 19:56:36 UTC 2020
;; MSG SIZE  rcvd: 358

$

(有記錄的引用DS,表示該markfisher.photo區域是用匹配的密鑰簽名的)

$ dig @ns-1478.awsdns-56.org markfisher.photo DNSKEY +norec +dnssec

; <<>> DiG 9.11.13-RedHat-9.11.13-3.fc31 <<>> @ns-1478.awsdns-56.org markfisher.photo DNSKEY +norec +dnssec
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54714
;; flags: qr aa; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;markfisher.photo.              IN      DNSKEY

;; AUTHORITY SECTION:
markfisher.photo.       900     IN      SOA     ns-893.awsdns-47.net. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400

;; Query time: 79 msec
;; SERVER: 2600:9000:5305:c600::1#53(2600:9000:5305:c600::1)
;; WHEN: Tue Jan 07 19:58:44 UTC 2020
;; MSG SIZE  rcvd: 129

$

(權威伺服器回复,顯示沒有DNSKEY記錄,也沒有簽名)

如需快速了解 DNS 委派和 DNSSEC 健康狀況,我可以推薦Dnsviz

引用自:https://serverfault.com/questions/997999