Назад | Перейти на главную страницу

Почему многие DNS-серверы неправильно возвращают серверы имен для моего домена?

Мой сайт стал недоступен для всех, и я не знаю почему.

До недавнего времени я обслуживал свой веб-сайт через cloudflare, поэтому использовал их серверы имен. Недавно я начал использовать Route 53, поэтому переключился на серверы имен Amazon с помощью панели управления регистратора и обнаружил, что мой сайт быстро стал недоступен (я нахожусь в Великобритании).

я использовал https://www.whatsmydns.net и обнаружил, что некоторые DNS-серверы по всему миру не возвращают никаких серверов namserver для моего сайта. Каждый раз, когда я пробовал, это были одни и те же места, включая Лондон, Сан-Паулу, Германию, Новую Зеландию и некоторые части США. Хотя в большинстве мест (около 3/4) все было в порядке.

В то время я использовал hover.com в качестве регистратора и подумал, что проблема могла быть связана с ними, поэтому переключил регистраторов на Amazon. После переноса на Amazon я изменил серверы имен обратно на серверы имен Cloudflare, дождался его распространения и снова проверил на whatsmydns.net. Он был зеленым для всех мест. Затем я вернулся к серверам имен Amazon. Проблема была точно такой же, как и раньше, серверы имен не возвращались DNS-запросами в тех же местах.

Я изменил DNS-серверы на своем ноутбуке Mac и могу получить доступ к своему веб-сайту, используя следующие DNS-серверы:

Но мой веб-сайт недоступен при использовании следующих DNS-серверов

Я пытаюсь использовать следующие серверы имен:

Я читал, что некоторые крупные интернет-провайдеры настроили свои DNS-серверы на нарушение правил, например, указав, что доменное имя не существует только потому, что один из его серверов имен не отвечает. Чтобы попытаться диагностировать, происходило ли это, и возникла ли проблема с одним из 4 серверов имен, я вчера изменил, чтобы использовать только первые 2 сервера имен в списке выше, намереваясь затем использовать только вторые два, если проблема все еще существует. . Однако, несмотря на то, что у этого изменения было достаточно времени для распространения (РЕДАКТИРОВАТЬ: возможно, нет, учитывая TTL, но определенно кажется медленнее, чем когда я менял серверы имен между Amazon и Cloudflare и наоборот), whatsmydns.net показывает, что огромное большинство DNS-серверов по-прежнему возвращают все 4 сервера имен. Я не уверен, почему это происходит.

Что происходит! Мой сайт https://www.markfisher.photo.

Я быстро посмотрел, и основная проблема с вашей зоной, похоже, заключается в том, что делегирование из родительской зоны (photo) указывает на то, что markfisher.photo должен быть подписан (DS запись присутствует).

markfisher.photo однако совсем не подписан. Результатом этого является то, что любой проверяющий распознаватель будет считать все ответы ложными и отбрасывать их.

Насколько мне известно, Route53 все еще не поддерживает DNSSEC, а это означает, что если вы хотите использовать эту службу DNS, вам необходимо удалить все DS записи о делегировании (осуществляется через вашего регистратора).

Демонстрация проблемы в два этапа:

$ dig @ns1.uniregistry.net markfisher.photo +norec +dnssec

; <<>> DiG 9.11.13-RedHat-9.11.13-3.fc31 <<>> @ns1.uniregistry.net markfisher.photo +norec +dnssec
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55361
;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
; COOKIE: 60e53f6e7a4d79f37a0879a75e14e274510b02d97b10da1c (good)
;; QUESTION SECTION:
;markfisher.photo.              IN      A

;; AUTHORITY SECTION:
markfisher.photo.       900     IN      NS      ns-1478.awsdns-56.org.
markfisher.photo.       900     IN      NS      ns-1953.awsdns-52.co.uk.
markfisher.photo.       900     IN      DS      2371 13 2 B1FB8D1E60D7B54027829321A64B612251F95A41C0F10C912FA9FC6A 9EECEEA5
markfisher.photo.       900     IN      RRSIG   DS 5 2 900 20200206185213 20200107185213 21795 photo. AN2TWw41LL15uX55vfNaQlHvidlpngYb629gSlEyP+A3JiS77NHO5TvJ gI5QF4si5/haBEoABpuVU8opxxC0Jmv3aD09NkwjZXoqikxDqwjzO/PD wNlvHKOb25fgb1+gKj3JaGvqtAD8m+m2xotmxRo74xPmb2XOvEsGUS25 Cxc=

;; Query time: 94 msec
;; SERVER: 2620:57:4000:1::1#53(2620:57:4000:1::1)
;; WHEN: Tue Jan 07 19:56:36 UTC 2020
;; MSG SIZE  rcvd: 358

$

(направление с DS запись, указывая, что markfisher.photo зона подписана соответствующим ключом)

$ dig @ns-1478.awsdns-56.org markfisher.photo DNSKEY +norec +dnssec

; <<>> DiG 9.11.13-RedHat-9.11.13-3.fc31 <<>> @ns-1478.awsdns-56.org markfisher.photo DNSKEY +norec +dnssec
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54714
;; flags: qr aa; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;markfisher.photo.              IN      DNSKEY

;; AUTHORITY SECTION:
markfisher.photo.       900     IN      SOA     ns-893.awsdns-47.net. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400

;; Query time: 79 msec
;; SERVER: 2600:9000:5305:c600::1#53(2600:9000:5305:c600::1)
;; WHEN: Tue Jan 07 19:58:44 UTC 2020
;; MSG SIZE  rcvd: 129

$

(ответ авторитетного сервера, показывающий, что нет DNSKEY записей, подписей нет)


Для быстрого обзора делегирования DNS, а также состояния DNSSEC я могу порекомендовать Днсвиз.

ответ довольно прост ... DNSSEC ;-)

Я проверил, есть ли открытые ключи для подписи DNSSEC на верхнем уровне (фото) для вашего домена. Это означает, что для него включен DNSSEC, но после вашего изменения на серверах нет (или, если хотите, недействительной) подписи DNSSEC ...

Записи технически правильные, но не проходят проверку DNSSEC на «достоверность». В результате его игнорируют.

Вам необходимо (одно из):

  • начать подписывать зону и обновить открытые ключи на фото. уровень домена
  • удалить открытые ключи => отключить DNSSEC для зоны

Оба связаны с интерфейсом вашего регистратора доменов, поскольку эта информация не находится на markfisher.photo. зона но фото. зона (в принципе делегированная), например NS-записи, содержащие, какие серверы будут использоваться.

$ dig www.markfisher.photo @9.9.9.9

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> www.markfisher.photo @9.9.9.9
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 38974
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.markfisher.photo.      IN  A

;; Query time: 305 msec
;; SERVER: 9.9.9.9#53(9.9.9.9)
;; WHEN: Út led 07 21:15:44 CET 2020
;; MSG SIZE  rcvd: 49

... и с отключенной проверкой DNSSEC:

$ dig +cdflag www.markfisher.photo @9.9.9.9

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> +cdflag www.markfisher.photo @9.9.9.9
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26962
;; flags: qr rd ra cd; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.markfisher.photo.      IN  A

;; ANSWER SECTION:
www.markfisher.photo.   298 IN  CNAME   markfisher.photo.
markfisher.photo.   60  IN  A   54.240.168.66
markfisher.photo.   60  IN  A   54.240.168.56
markfisher.photo.   60  IN  A   54.240.168.98
markfisher.photo.   60  IN  A   54.240.168.51

;; Query time: 1770 msec
;; SERVER: 9.9.9.9#53(9.9.9.9)
;; WHEN: Út led 07 21:14:43 CET 2020
;; MSG SIZE  rcvd: 127