Назад | Перейти на главную страницу

DNS работает только частично после смены провайдера

Мой сайт ecoguardfilters.com.
Я купил домен у GoDaddy, а хостинг - у Hostinger.
Я изменил сервер имен на Hostinger, но через две недели он все еще не полностью распространен.

В чем может быть проблема?

DNS не распространяется, но кэшируется. Каждые рекурсивный сервер имен сначала просматривает свой собственный кеш, если он уже разрешил запись в пределах своего TTL, а затем запрашивает авторитетный серверы. Вот почему вы всегда должны начинать отладку с запроса авторитетных серверов, а затем родителей.

DNSSEC включен, но Hostinger DNS не поддерживает его

В таком случае, whois ecoguardfilters.com показывает:

Name Server: NS1.DNS-PARKING.COM
Name Server: NS2.DNS-PARKING.COM
DNSSEC: signedDelegation

В родительской зоне есть DNSSEC DS записи:

;; ANSWER SECTION:
ecoguardfilters.com.  86400  IN  DS  54169 8 2 BA98A4F1210C30B65DA7C01E6B4A3385DBF1345E84FC7B635D3EB29D 8E187E4C
ecoguardfilters.com.  86400  IN  DS  54169 8 1 8F44699EA5A178F74071A349FAF0069527F9E9BC
ecoguardfilters.com.  86400  IN  DS  28279 8 1 0DB878191AAF675C098C0A71660EE20D09C7204E

Но Серверы имен Hostinger не подписал зону соответствующими ключами:

; <<>> DiG <<>> ecoguardfilters.com RRSIG @ns1.dns-parking.com

;; ANSWER SECTION:
ecoguardfilters.com.    3789    IN      HINFO   "RFC8482" ""

Судя по этому ответу, их серверы имен даже не поддерживают DNSSEC. Их опоры говорят:

Предоставляете ли вы DNSSEC?

Если ваш домен зарегистрирован на Hostinger и размещен где-то еще, DNSSEC можно включить на некоторых доменах. Не все домены поддерживают DNSSEC, поэтому для получения дополнительной информации обратитесь в нашу службу поддержки через чат.

DNSSEC нельзя включить на доменах, размещенных на Hostinger.

Для тестирования и визуализации DNSSEC есть два замечательных инструмента:

Миграция DNSSEC

Обычно вы могли бы просто настроить DNSSEC на новых серверах имен и обновить DS записи. При использовании DNSSEC правильный порядок важен! Сокращено и немного изменено из Младший Пейнс DNSSEC & DNS MIGRATION: как перенести ваш DNS, не нарушая DNSSEC:

  1. Подготовьте DNSSEC к новому провайдеру: настроить зону и подписать ее.

  2. Добавьте DS-запись получателя DNS-провайдера и дождитесь TTL.
    Это текущее состояние будет подтверждать как теряющие, так и получающие ZSK поставщиков услуг DNS. На этом этапе делегирование новым серверам имен еще не изменилось. В этой конфигурации необходимо повторно подписать зону с получающим поставщиком услуг DNS и дождаться истечения срока действия кешей (TTL записей DS).

  3. Измените делегирование зоны получающему поставщику услуг DNS.

  4. Удалите записи DS потерявшего поставщика услуг DNS.
    Если вы убедитесь, что больше нет кешированных записей DS, относящихся к проигравшему поставщику услуг DNS, записи DS потерянного поставщика услуг DNS могут быть удалены из реестра.

Эрленд Эйде, не признавая такой возможности, дает другой путь на Как перенести серверы имен для зон DNS с активным DNSSEC. Хотя Junior Payne более прав, эта альтернатива может быть единственной возможностью, если новый провайдер не поддерживает настройку предварительного делегирования DNSSEC:

  1. Отключить DNSSEC у регистратора
  2. Подождите 24 часа
  3. Отключить DNSSEC на сервере имен (удалить DS-записи)
  4. Переключить серверы имен
  5. Подождите 24 часа
  6. Повторно включить DNSSEC

Решения для вас

  • Поскольку Hostinger не поддерживает DNSSEC, используя их DNS, вы должны отключить DNSSEC у регистратора.
  • Если вы хотите продолжить использование DNSSEC, не перемещайте свой DNS на Hostinger (т.е. переместите его обратно или найдите другого поставщика DNS), а только укажите своим веб-сайтом их серверы.