Назад | Перейти на главную страницу

Поиск DNSSEC занимает невероятно много времени (Windows Server)


Прошу помощи. У меня Windows Server 2016 с установленным DNS-сервером. Этот сервер тоже DC. Сервер работает как рекурсивный DNS-сервер для сети, и для него включена проверка DNSSEC. Этот сервер имеет общедоступный IPv4 и общедоступный маршрутизируемый IPv6-адрес. Проблема в том, что проверка DNSSEC занимает невероятно много времени. Большинство серверов веб-сайтов не могут сначала разрешиться. Dig возвращается в SERVFAIL, и nslookup дает мне:

     *** UnKnown can not find website.com: Server failed

Когда я пытаюсь разрешить это имя хоста и перейти на веб-сайт, он внезапно начинает работать. Это занимает ок. 5 минут. После этого сайт станет доступен.

Я думаю, что, скорее всего, проверка DNSSEC займет слишком много времени. Когда я просматриваю кеш серверов, с начала поиска есть некоторые записи для этого конкретного домена, но не все. Я думаю, что последняя подпись RR (RRSIG) появляется там по прошествии действительно долгого времени, и когда она, наконец, появляется, поиск завершен, и я могу просмотреть этот веб-сайт.

Когда я инициирую поиск DNS, я вижу это в кеше DNS:

Когда через несколько минут перевод будет завершен, я вижу следующее:

Может кто-нибудь мне помочь? Любая помощь будет оценена .. Спасибо.

РЕДАКТИРОВАТЬ:

У меня проблемы особенно с этими сайтами: standardkonektivity.cz, dnssec.cz, nic.cz, mojeid.cz, turris.cz, jaknainternet.cz, domenovyprohlizec.cz, jaknainternet.cz которые все находятся на нескольких из этих серверов имен: a.ns.nic.cz, b.ns.nic.cz, c.ns.nic.cz, d.ns.nic.cz.

Проблема появляется во всех установках Windows Server 2016. Похоже на проблему с Windows Server 2016. У меня нет проблем с такой же конфигурацией на Windows Server 2012 R2

Я пробовал несколько подключений к Интернету, поэтому проблем с fw / gw быть не должно.

У меня нет проблем с доменами без DNSSEC

Проблема сохраняется, когда IPv6 отключен.

Конфигурация сети должна быть в порядке. Я тестировал это на нескольких системах с разными конфигурациями.

Часы на сервере в порядке.

Это проблема DNSSEC. Когда я отключаю dnssec на сервере, все в порядке. Странно то, что когда я использую флаг + cd с включенным dnssec на сервере, разрешение тоже не работает.

кстати ... Между созданием и публикацией этих скриншотов есть промежуток времени

Флаг dig + trace ведет себя странно. После того, как он получил «dig: не удалось получить адрес для 'a.ns.nic.cz': no ​​more», теперь он перестал работать и ничего не получает.