Недавно я включил проверку DNSSEC на нашем внутреннем DNS-сервере в нашей среде Active Directory. Все работало нормально, пока через пару дней я не заметил, что не могу связаться с определенным доменом и только с этим доменом. Сначала я подумал, что у него плохо настроен DNSSEC, но оказалось, что в этом домене даже не включен DNSSEC.
Я начал просматривать журналы и т. Д. И ничего не нашел.
Если я включаю DNSSEC и выполняю nslookup для этого домена, он работает примерно 1-2 минуты. После этого я получаю следующие сообщения:
PS C:\> nslookup xxxxxxxxxx.sn.mynetname.net 192.168.1.5
Server: internal-dns.domain.local
Address: 192.168.1.5
DNS request timed out.
timeout was 2 seconds.
*** Request to internal-dns.domain.local timed-out
Следующая попытка я получаю это:
PS C:\> nslookup xxxxxxxxxx.sn.mynetname.net 192.168.1.5
Server: internal-dns.domain.local
Address: 192.168.1.5
*** internal-dns.domain.local can't find xxxxxxxxxx.sn.mynetname.net: Server failed
Я очистил кеш DNS везде, и если я перезагружаю службу DNS, она снова начинает работать в течение 1-2 минут, и после этого я снова получаю те же ошибки.
Следующее, что я мог подумать, - это проверить серверы имен для этого домена. Единственное, что я могу найти, это то, что у них нет открытого TCP-порта 53, но здесь это не должно быть проблемой. PTR для обоих серверов имен одинаков, но, опять же, это не должно быть проблемой. Они также не поддерживают «новейшие стандарты DNS», согласно https://dnsflagday.net/
Я схожу с ума по этому поводу, и мне пришлось отключить проверку DNSSEC по этой причине.
Еще одна безумная вещь, которую я обнаружил при устранении неполадок, заключалась в том, что если вы используете nslookup на компьютере с Windows и запросите у сервера имен конкретный домен, вы получите ту же ошибку. Посмотри на это.
Это не проблема:
PS C:\> nslookup google.com ns1.google.com
Server: ns1.google.com
Address: 216.239.32.10
Name: google.com
Addresses: 2a00:1450:400f:80d::200e
216.58.211.14
Но если вы войдете nslookup сначала и измените там сервер имен, он не будет работать:
PS C:\> nslookup
Default Server: internal-dns.domain.local
Address: 192.168.1.5
> server ns1.google.com
Default Server: ns1.google.com
Addresses: 2001:4860:4802:32::a
216.239.32.10
> google.com
Server: ns1.google.com
Addresses: 2001:4860:4802:32::a
216.239.32.10
*** ns1.google.com can't find google.com: No response from server
Я пробовал это на нескольких компьютерах с Windows 10 и на нескольких компьютерах с Windows Server 2012 и 2016 и получил тот же результат. Я не знаю, связано ли это с моей проблемой с проверкой DNSSEC, но я подумал, что об этом стоит упомянуть. Могу также отметить, что он без проблем работает с nslookup на компьютере с Linux, если у вас установлены инструменты BIND для Windows и вы используете эту версию nslookup.
Кто-нибудь знает, в чем может быть проблема?
Может ли кто-нибудь здесь найти это доменное имя с помощью DNS-сервера Windows с включенной проверкой DNSSEC?