Networking

為什麼我無法使用特定的 DNS 訪問特定的主機?

  • September 28, 2021

我正在嘗試向www2.agenciatributaria.gob.es發送一些資訊。我可以從幾台主機上做到這一點,但只有一台。

從這個我得到錯誤Temporary failure in name resolution。但是,從同一主機我可以通過其預設 DNS 訪問許多其他伺服器(我可以 ping *www.google.es*等)。

所以我用 dig 來檢查會發生什麼。如果我執行dig www2.agenciatributaria.gob.es,則遠端主機的IP被DNS在127.0.0.53上搜尋,結果是錯誤的(儘管如此,如果我在*www.google.es*上探勘結果是成功的):

; <<>> DiG 9.16.1-Ubuntu <<>> www2.agenciatributaria.gob.es
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 58113
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;www2.agenciatributaria.gob.es. IN      A

;; Query time: 7 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Mon Sep 27 09:17:00 UTC 2021
;; MSG SIZE  rcvd: 58

另一方面,如果我執行dig +norecurse @8.8.8.8 www2.agenciatributaria.gob.es, 用 8.8.8.8 上的 DNS 搜尋遠端主機的 IP,結果是成功的:

; <<>> DiG 9.16.1-Ubuntu <<>> +norecurse @8.8.8.8 www2.agenciatributaria.gob.es
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31565
;; flags: qr ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www2.agenciatributaria.gob.es. IN      A

;; ANSWER SECTION:
www2.agenciatributaria.gob.es. 201 IN   A       195.77.198.18

;; Query time: 0 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Mon Sep 27 09:16:28 UTC 2021
;; MSG SIZE  rcvd: 74

我不是這方面的專家。但我想只有那個域的 DNS 存在一些問題。有人能幫我一下嗎?我該如何解決這個問題或者我現在應該檢查什麼?

解析狀態

Global
      LLMNR setting: no                  
MulticastDNS setting: no                  
 DNSOverTLS setting: no                  
     DNSSEC setting: no                  
   DNSSEC supported: no                  
         DNSSEC NTA: 10.in-addr.arpa     
                     16.172.in-addr.arpa 
                     168.192.in-addr.arpa
                     17.172.in-addr.arpa 
                     18.172.in-addr.arpa 
                     19.172.in-addr.arpa 
                     20.172.in-addr.arpa 
                     21.172.in-addr.arpa 
                     22.172.in-addr.arpa 
                     23.172.in-addr.arpa 
                     24.172.in-addr.arpa 
                     25.172.in-addr.arpa 
                     26.172.in-addr.arpa 
                     27.172.in-addr.arpa 
                     28.172.in-addr.arpa 
                     29.172.in-addr.arpa 
                     30.172.in-addr.arpa 
                     31.172.in-addr.arpa 
                     corp                
                     d.f.ip6.arpa        
                     home                
                     internal            
                     intranet            
                     lan                 
                     local               
                     private             
                     test                

Link 2 (ens3)
     Current Scopes: DNS           
DefaultRoute setting: yes           
      LLMNR setting: yes           
MulticastDNS setting: no            
 DNSOverTLS setting: no            
     DNSSEC setting: no            
   DNSSEC supported: no            
 Current DNS Server: 213.186.33.99 
        DNS Servers: 213.186.33.99 
         DNS Domain: openstacklocal

您的域配置不正確,請參閱https://dnsviz.net/d/www2.agenciatributaria.gob.es/YVHoZA/dnssec/

您可以忽略DS警告esgob.es因為您將無法對這些警告執行任何操作,並且它們不會阻止解析。

但是,請閱讀有關NS設置不匹配的警告,這意味著您處於蹩腳的委派情況。這具有直接影響,您的結果將取決於您詢問的名稱伺服器,並且可能有 50% 或更多的時間是錯誤的。

通過確保您的父母 ( gob.es) 列出與您相同的權威伺服器來修復您的 DNS 設置:

$ dig gob.es NS +short
c.nic.es.
fnicdos.rediris.es.
n3ns.nic.es.
h.nic.es.
g.nic.es.
$ dig agenciatributaria.gob.es NS @c.nic.es +noall +auth
agenciatributaria.gob.es. 1d IN NS ns3chos01.telefonica-data.com.
agenciatributaria.gob.es. 1d IN NS nsjc8hos01.telefonica-data.com.
$ dig agenciatributaria.gob.es NS @nsjc8hos01.telefonica-data.com. +short
nsalchos01.telefonica-data.com.
nsjc8hos01.telefonica-data.com.

這 2 組NS記錄不匹配,它們必須匹配正確的 DNS 解析。

引用自:https://serverfault.com/questions/1078752