如何在递归中间的某个地方解决 DNS 问题？

如何调试此问题并找到有问题的名称服务器？

daxd5 提供了一些好的入门建议，但这里唯一真正的答案是您需要知道如何像递归 DNS 服务器一样思考。由于权威层有许多错误配置可能导致不一致SERVFAIL，因此您需要 DNS 专业或在线验证工具。

无论如何，目标不是逃避帮助你，但我想确保你明白这个问题没有决定性的答案。

在您的特定情况下，我注意到这strugee.net似乎是一个使用 DNSSEC 签名的区域。从推荐链中存在DS和记录可以看出这一点：RRSIG

# dig +trace +additional strugee.net
<snip>
strugee.net.            172800  IN      NS      dns2.registrar-servers.com.
strugee.net.            172800  IN      NS      dns1.registrar-servers.com.
strugee.net.            172800  IN      NS      dns3.registrar-servers.com.
strugee.net.            172800  IN      NS      dns4.registrar-servers.com.
strugee.net.            172800  IN      NS      dns5.registrar-servers.com.
strugee.net.            86400   IN      DS      16517 8 1 B08CDBF73B89CCEB2FD3280087D880F062A454C2
strugee.net.            86400   IN      RRSIG   DS 8 2 86400 20160423051619 20160416040619 50762 net. w76PbsjxgmKAIzJmklqKN2rofq1e+TfzorN+LBQVO4+1Qs9Gadu1OrPf XXgt/AmelameSMkEOQTVqzriGSB21azTjY/lLXBa553C7fSgNNaEXVaZ xyQ1W/K5OALXzkDLmjcljyEt4GLfcA+M3VsQyuWI4tJOng184rGuVvJO RuI=
dns2.registrar-servers.com. 172800 IN   A       216.87.152.33
dns1.registrar-servers.com. 172800 IN   A       216.87.155.33
dns3.registrar-servers.com. 172800 IN   A       216.87.155.33
dns4.registrar-servers.com. 172800 IN   A       216.87.152.33
dns5.registrar-servers.com. 172800 IN   A       216.87.155.33
;; Received 435 bytes from 192.41.162.30#53(l.gtld-servers.net) in 30 ms

在我们继续之前，我们需要检查签名是否有效。DNSViz是一个经常用于此目的的工具，它确认确实存在问题。图片中愤怒的红色表示您有问题，但与其将鼠标悬停在所有内容上，我们可以展开左侧边栏上的通知：

RRSIG strugee.net/A alg 8, id 10636: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/DNSKEY alg 8, id 16517: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/DNSKEY alg 8, id 16517: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/MX alg 8, id 10636: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/NS alg 8, id 10636: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/SOA alg 8, id 10636: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/TXT alg 8, id 10636: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
net to strugee.net: No valid RRSIGs made by a key corresponding to a DS RR were found covering the DNSKEY RRset, resulting in no secure entry point (SEP) into the zone. (216.87.152.33, 216.87.155.33, UDP_0_EDNS0_32768_4096)

问题很明显：您所在区域的签名已过期，需要刷新密钥。您看到不一致结果的原因是并非所有递归服务器都启用了 DNSSEC 验证。那些验证的正在删除您的域，而那些没有验证的则照常营业。

编辑： Comcast 的 DNS 基础设施以实施 DNSSEC 验证而闻名，作为他们的客户之一，我可以确认我也看到了SERVFAIL。

$ dig @75.75.75.75 strugee.net | grep status
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 2011

虽然您确实看到权威名称服务器正确响应，但您需要跟进整个 DNS 解析链。也就是说，从根服务器向上遍历整个 DNS 层次结构。

$ dig net NS
;; ANSWER SECTION:
net.            172800  IN  NS  c.gtld-servers.net.
net.            172800  IN  NS  f.gtld-servers.net.
net.            172800  IN  NS  k.gtld-servers.net.
;; snipped extra servers given
$ dig @c.gtld-servers.net strugee.net NS
;; AUTHORITY SECTION:
strugee.net.        172800  IN  NS  dns2.registrar-servers.com.
strugee.net.        172800  IN  NS  dns1.registrar-servers.com.
;; snipped extra servers again

这基本上检查公共 DNS 服务器是否正常工作，并且您正在做与您的 DNS 解析器应该做的事情相同的事情。因此，除非他们的 DNS 解析器出现问题，否则您应该在 Digital Ocean 服务器中得到与上述相同的答案：

$ dig net NS
$ dig strugee.net NS
$ dig strugee.net

如果前两个查询失败，则说明 Digital Ocean 方面的 DNS 失败。检查您的/etc/resolv.conf并尝试查询辅助 DNS 服务器。如果第二个有效，只需切换解析器的顺序并重试。