У меня есть сервер под управлением CentOS 6 с Bind 9.8.2, который не разрешает DNS для 1 конкретного хоста, который даже не является одной из зон, которые размещает этот сервер. Все остальные запросы работают нормально, включая запросы к другим хостам в домене, с которым у меня возникла проблема.
С проблемного сервера
$ dig www.example.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6 <<>> www.example.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 6139
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;www.example.com. IN A
$ nslookup -debug www.example.com
Server: x.x.x.x
Address: x.x.x.x#53
------------
QUESTIONS:
www.example.com, type = A, class = IN
ANSWERS:
AUTHORITY RECORDS:
ADDITIONAL RECORDS:
------------
** server can't find www.example.com: SERVFAIL
Server: x.x.x.x
Address: x.x.x.x#53
$ dig en-es.example.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6 <<>> en-es.example.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4755
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 4, ADDITIONAL: 1
;; QUESTION SECTION:
;en-es.example.com. IN A
;; ANSWER SECTION:
en-es.example.com. 600 IN A z.z.z.z
С других серверов (как в той же сети, так и за ее пределами)
$ dig www.example.com
; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7_2.3 <<>> www.example.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58315
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.example.com. IN A
;; ANSWER SECTION:
www.example.com. 324 IN CNAME my.cname.net.
my.cname.net . 20 IN A y.y.y.y
Как мне отследить Зачем этот запрос приводит к SERVFAIL, разрешающему следующий логический шаг, устраняющий проблему.
Проблема была решена сегодня, оказалось, что это проблема с файлами зоны для рассматриваемого домена. Очевидно, у клиента были модификации, которые касались того, что они называли «контейнерами» (предполагая, что это было делегирование зоны), и после некоторых проверок работоспособности DNS были возвращены некоторые странные ошибки. Они отменили свои изменения, и все вернулось в норму. Похоже, они делегировали субдомен www, но не добавили записи, требующие надлежащих полномочий. Я считаю, что это вызвало какую-то проблему с DNSSEC, которую наш сервер не мог решить.