主页 / server / 问题 / 1092496
Accepted
user3482229
Asked: 2022-02-03 15:32:41 +0800 CST

75.75.75.75(康卡斯特 DNS)无法解析 ironpawsllc.com

  • 772

IronPawsLLC.com 不可 ping,给出 NXDOMAIN,并且在使用 dig @75.75.75.75 ironpawsllc.com 时得到 0 个答案。到目前为止,我测试过的所有其他 DNS 服务器都已解析。IronPawsLLC.com 是一个运行 CPanel、Centos7 和 PowerDNS 权威的 HostGator VPS4000。CPanel 和 HostGator 已经反复研究过。康卡斯特说他们不知道发生了什么。

IronPawsLLC.com 的 IP 162.240.41.15 不在任何黑名单上,包括 Comcasts。如果有任何后果,服务器是从 108.179.251.79 迁移过来的。

为简洁起见,我只是列出了一些 DNS 配置花絮。

DNS 区域是:

162-240-41-15.www.hostgator.com
41.240.162.in-addr.arpa
cloud-ci.unifiedlayer.com
ironpawsllc.com

DNS 胶水是:

ironpawsllc.com.    3600    SOA 
Serial: 2022020103
Mname: ns1.ironpawsllc.com
Retry: 1800
Refresh: 3600
Expire: 1209600
Rname: [email protected]

ironpawsllc.com.    3600    NS  ns1.ironpawsllc.com
ironpawsllc.com.    3600    NS  ns2.ironpawsllc.com
ironpawsllc.com.    3600    A   162.240.41.15
ns1.ironpawsllc.com.    3600    A   162.240.41.15
ns2.ironpawsllc.com.    3600    A   162.240.41.68
5594881.ironpawsllc.com.    14400   A 162.240.41.15

我还是服务器管理的新手,任何见解都值得赞赏。

centos domain-name-system dns-zone powerdns

1 个回答

  1. Best Answer

    您的域配置不正确,您遇到了 DNSSEC 问题,因此问题不在于您使用的递归解析器,无论是哪个,而是域本身,您需要修复它。

    请参阅https://dnsviz.net/d/ironpawsllc.com/YfurFA/dnssec/上的 DNSViz 分析(您有 9 个错误要修复),但也很容易通过使用任何验证解析器并将答案与默认值进行比较来证明“ DNSSEC 验证”启用然后明确禁用它:

    $ dig @9.9.9.9 ironpawsllc.com NS

; <<>> DiG 9.16.25 <<>> @9.9.9.9 ironpawsllc.com NS
; (1 server found)
;; global options: +cmd
;; Sending:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58418
;; flags: rd ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 5c89ab72fd28093b
;; QUESTION SECTION:
;ironpawsllc.com.   IN NS

;; QUERY SIZE: 56

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 58418

    SERVFAIL可能有很多事情,但任何 DNSSEC 问题也是如此,如果禁用 DNSSEC 验证(+cd标志):

    $ dig @9.9.9.9 ironpawsllc.com NS +cd

; <<>> DiG 9.16.25 <<>> @9.9.9.9 ironpawsllc.com NS +cd
; (1 server found)
;; global options: +cmd
;; Sending:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2142
;; flags: rd ad cd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 4c56f2c5e1caa672
;; QUESTION SECTION:
;ironpawsllc.com.   IN NS

;; QUERY SIZE: 56

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2142
;; flags: qr rd ra cd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
; EDE: 9 (DNSKEY Missing)
;; QUESTION SECTION:
;ironpawsllc.com.   IN NS

;; ANSWER SECTION:
ironpawsllc.com.    1h IN NS ns1.ironpawsllc.com.
ironpawsllc.com.    1h IN NS ns2.ironpawsllc.com.

;; Query time: 366 msec
;; SERVER: 9.9.9.9#53(9.9.9.9)
;; WHEN: Thu Feb 03 11:17:07 CET 2022
;; MSG SIZE  rcvd: 86

    事实上,对于同一个验证解析器上的相同查询,可以使用+cd(禁用检查)但没有它就无法工作,这表明 DNSSEC 在域上被破坏的概率为 99.99%,这很好地显示和解释在上面的 DNSViz 页面上,我在此处附上了结果图:

    DNSViz 输出

    注意:您甚至可以在dig输出中获得扩展 DNS 错误的“EDE”,这是 DNS 领域中最近添加的一个尚未被所有名称服务器支持的内容,但在这里它会立即告诉您 DNSSEC 问题:EDE: 9 (DNSKEY Missing)

    至于

    我还是服务器管理的新手,任何见解都值得赞赏。

    如果您是 DNS 新手,特别是 DNS 故障排除,最好完全远离 DNSSEC,或者让一些外部提供商完全处理您的 DNS,而无需您做任何事情。此时此刻,您要么完全删除 DNSSEC,要么设置正确的密钥和摘要。在这两种情况下,您都需要通过您的注册商来删除/更新注册机构稍后将发布的 DS 数据。您的 DNS 提供商应该可以帮助您。

    • 2

相关问题