问题[domain-name-system](server)

我在网上搜索了所有信息，所有资料似乎都表明这是 DNS 解析问题。然而，我的机器上的 DNS 解析正常，而且对其他顶级域名（例如 .com）的 whois 查询也没有出现这个问题。

我也在几台不同的机器上尝试过，结果是一样的。

Mon 04-28 03:49 OVH root ~
> whois google.com | head
   Domain Name: GOOGLE.COM
   Registry Domain ID: 2138514_DOMAIN_COM-VRSN
   Registrar WHOIS Server: whois.markmonitor.com
   Registrar URL: http://www.markmonitor.com
   Updated Date: 2019-09-09T15:39:04Z
   Creation Date: 1997-09-15T04:00:00Z
   Registry Expiry Date: 2028-09-14T04:00:00Z
   Registrar: MarkMonitor Inc.
   Registrar IANA ID: 292
   Registrar Abuse Contact Email: [email protected]

Mon 04-28 03:49 OVH root ~
> whois icann.org | head
This domain is protected by the Registry Lock service. If you are the registrant and wish to take action on this lock, please contact your registrar.

Domain Name: icann.org
Registry Domain ID: 628dbbcb4edc464b9401cbadea0a08b2-LROR
Registrar WHOIS Server: http://whois.cscglobal.com
Registrar URL: http://www.cscglobal.com/global/web/csc/digital-brand
Updated Date: 2025-01-31T20:19:44Z
Creation Date: 1998-09-14T04:00:00Z
Registry Expiry Date: 2028-12-07T17:04:26Z
Registrar: CSC Corporate Domains, Inc.

Mon 04-28 03:49 OVH root ~
> whois nic.app | head
getaddrinfo(whois.nic.app): Name or service not known

如果在我的 DNS 配置中，我有这样的记录：

sub.example.com NS ns1.nameserverexample.com

针对 子域名sub.example.com（例如a.sub.example.com）的查询请求是否也会被定向到ns1.nameserverexample.com？或者我是否需要为 创建一个额外的 NS 记录才能a.sub.example.com将这些请求发送到ns1.nameserverexample.com？

如果可能的话，我希望任何答案都有可靠的来源。我花了一些时间寻找答案，到目前为止，Google 的 Gemini 似乎说答案是“否”（但我找不到它链接到的任何参考资料中明确说明这一点），而一条未注明来源的Reddit 评论暗示答案是“是”。

背景：我在我的主机上使用 (rootful) Podman 容器，该主机也连接到 Tailscale VPN。主机的 DNS 是通过 进行配置的systemd-resolved。

从昨天开始，我一直在努力解决Roundcube（Web 邮件客户端）容器连接到邮件服务器容器的速度极慢的问题，每个操作（登录、列出文件夹、打开消息）至少需要 5 秒钟才能加载。然后我意识到，/etc/resolv.conf在启用 Tailscale 的情况下，每次启动容器时，每个容器都会以以下几行开头：

search headscale.ts.net
nameserver 100.100.100.100
...

我认为这就是为什么 Roundcube 容器首先尝试通过 Tailscale 解析邮件服务器的域名，这需要一段时间然后失败，然后他最终使用其他 DNS 服务器正确解析域。

一旦我关闭 Tailscale 并重新启动容器，一切都会正常运行，并且/etc/resolv.conf不再包含 Tailscale DNS 服务器。

我不确定如何解决这个问题，所以我的问题是：

1. 是否有某种方法可以配置容器以跳过非 Tailscale 域的 Tailscale DNS 解析
2. 我如何告诉容器不要使用 Tailscale DNS 服务器，同时仍在主机上启用它

我们正在寻找新的 VPS。

VPS 标配 1 个 IPv4。我们以前一直使用包含 BIND 名称服务器/DNS 功能的金属盒服务器。这些服务器有 2 个不同的 IP（有时遗憾的是在同一个子网掩码上）。

我搜索了互联网，但总体来说，答案非常模糊，太笼统，无法给我提供有用的提示。不过，这个问题与我的问题很接近：如何在我的 VPS 上使用共享 DNS 服务设置我自己的名称服务器

但是，那是 2012 年的事了，也不能完全回答我的问题；

我认为，从在金属盒上使用 DNS 开始，我需要两个不同的名称服务器 IP ns1.server.com，ns2.server.com并且我看不到任何明确的指标表明这对于 VPS 服务器是否仍然适用。

• 我的想法是否正确，例如，对于同一台 VPS 机器，我们需要有两个不同的 IP 才能实现最佳实践？

奖金：

• 将第二个/附加名称服务器 IP 设置为 IPv6 而不是 IPv4 [在英国] 有什么好处吗？

我为一个朋友 ( ) 设置了一个域名maple-tree.co.uk。他希望能够在此域名上发送和接收电子邮件，它似乎大部分情况下都正常工作，但还不够完善。某些邮件服务器（尤其是 BTInternet）不会向此域名发送电子邮件。

我认为问题可能与 DMARC 和 MX 记录有关，我似乎在设置它们时遇到了麻烦。该域名由 GoDaddy 托管，在 GoDaddy 的工具中，它显示了一条 DMARC 记录，如下所示：

txt @   v=DMARC1; p=none;   1 Hour      

以及如下的 MX 记录：

mx  mail    mail.maple-tree.co.uk. (Priority: 0)    1 Hour      

但是在域名的 CPanel 中，虽然它发现 SPF 和 DKIM 记录正常，但它声称没有 DMARC 记录，而 dig/nslookup 和各种在线工具都没有显示 MX 记录。

有人可以帮忙吗？

我在路由器 PC 上设置了 bind9。它充当我家庭网络中所有机器的 DNS 服务器。它配置为仅将 DNS 请求转发到 stubby（在本地监听端口 54321），然后 stubby 通过 TLS 将这些 DNS 请求安全地发送到某个全局 DNS 服务器。通常情况下，它工作正常，除非发生超时，如下所示（取自系统日志）：

Feb 05 15:51:19 router named[512]: timed out resolving 'accounts.youtube.com/A/IN': 127.0.0.1#54321

当我打开时tcpdump，我发现这些超时请求正在以明文形式通过端口 53 发送到随机 (?) 名称服务器。由于没有耐心进行故障排除，我只能阻止端口 53 上的传出数据包，现在tcpdump在超时日志之后，系统日志中出现了一些新日志（显然，PCAPS 中不再显示此类请求）：

Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.5.6.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.33.14.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.26.92.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.31.80.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.35.51.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.42.93.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.54.112.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.43.172.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.48.79.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.52.178.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.41.162.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.55.83.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.12.94.30#53

发生了什么事？为什么 bind9 会故障转移到所有这些 DNS 服务器，完全绕过配置为唯一转发器的 stubby？这是我的named.conf.options文件：

options {
    directory "/var/cache/bind";

    forwarders {
            127.0.0.1 port 54321;
    };

    dnssec-validation yes;

    allow-recursion { localhost; localnets; 192.168.0.0/24; };

    listen-on { 127.0.0.1; 192.168.0.0; };
    listen-on-v6 { none; };
};

我已配置 DHCP 服务器，以便它为网络中的所有计算机（包括路由器）设置所有网络接口，以便它们仅使用在路由器 PC 上运行的我自己的 DNS 服务器，因此我相信（日志似乎证实了这一点）bind9 本身决定尝试其他 DNS 服务器，而无需我明确允许。出现了三个问题：

1. 它为什么会这样做？
2. 它将名称服务器故障转移到哪里？
3. 我该如何禁止它这样做？虽然阻止端口 53 上的传出流量有效，但我仍然有日志被丢弃，因为它尝试尝试其他 DNS 服务器来解决超时请求，我不喜欢这样。

我意外删除了 DKIM 记录，而提供商遇到问题，无法紧急向我提供 DNS 记录。

我收到了来自该提供商的电子邮件，但该电子邮件已被归为垃圾邮件。

因为我知道这封电子邮件是使用有效的 DKIM 密钥签名的，我可以反转签名并提取公共 DKIM 密钥吗？提取后，我会将密钥保存在域 DNS 页面中。

我收到以下错误：

3.033 Err:32 http://security.ubuntu.com/ubuntu noble-updates/main amd64 linux-libc-dev amd64 6.8.0-51.52
3.034   404  Not Found [IP: 91.189.91.82 80]

尝试在 Docker 容器内运行以下命令时：

FROM ubuntu:24.04

RUN apt update
RUN apt upgrade

RUN apt -y install build-essential

这是与 DNS 相关的问题吗？

/etc/resolv.conf在 Docker 容器中：

# Generated by Docker Engine.
# This file can be edited; Docker Engine will not make further changes once it
# has been modified.

nameserver 172.236.0.51
nameserver 172.236.0.54
nameserver 172.236.0.48
nameserver 172.236.0.46
nameserver 172.236.0.50
nameserver 172.236.0.47
nameserver 172.236.0.53
nameserver 172.236.0.52
nameserver 172.236.0.45
nameserver 172.236.0.49
search members.linode.com ip.linodeusercontent.com

# Based on host file: '/run/systemd/resolve/resolv.conf' (legacy)
# Overrides: []

/etc/resolv.conf它与我的主机（Ubuntu 24.04）不同：

ll /etc/resolv.conf
lrwxrwxrwx 1 root root 37 Jan 23 18:19 /etc/resolv.conf -> /run/systemd/resolve/stub-resolv.conf
cat /etc/resolv.conf

nameserver 127.0.0.53
options edns0 trust-ad
search members.linode.com ip.linodeusercontent.com

但/run/systemd/resolve/resolv.conf在主机上匹配。

我不明白为什么resonv.conf我的主机上有两个不同的。

还不太清楚Docker 容器内的 DNS 是否配置正确。

编辑1

Docker容器中的路由：

ip route show
default via 172.17.0.1 dev eth0
172.17.0.0/16 dev eth0 proto kernel scope link src 172.17.0.3

主机上的路由：

ip route show
default via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1
172.18.0.0/16 dev br-7c0ebcfd4e3a proto kernel scope link src 172.18.0.1
172.20.0.0/16 dev br-99d8bde8e488 proto kernel scope link src 172.20.0.1
172.236.0.45 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.46 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.47 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.48 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.49 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.50 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.51 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.52 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.53 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.54 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.29.0/24 dev eth0 proto kernel scope link src 172.236.29.157 metric 1024
172.236.29.1 dev eth0 proto dhcp scope link src 172.236.29.157 metric 1024

从 Docker 容器中：

ping 91.189.91.82
PING 91.189.91.82 (91.189.91.82) 56(84) bytes of data.
64 bytes from 91.189.91.82: icmp_seq=1 ttl=47 time=82.5 ms
64 bytes from 91.189.91.82: icmp_seq=2 ttl=47 time=82.6 ms

telnet security.ubuntu.com 80
Trying 91.189.91.81...
Connected to security.ubuntu.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

编辑2

从 Docker 容器中：

root@4e534b3b6847:/# apt install --no-cache linux-libc-dev
E: Command line option --no-cache is not understood in combination with the other options
root@4e534b3b6847:/# df -h
Filesystem      Size  Used Avail Use% Mounted on
overlay          49G   34G   15G  70% /
tmpfs            64M     0   64M   0% /dev
shm              64M     0   64M   0% /dev/shm
/dev/sda         49G   34G   15G  70% /etc/hosts
tmpfs           985M     0  985M   0% /proc/acpi
tmpfs           985M     0  985M   0% /proc/scsi
tmpfs           985M     0  985M   0% /sys/firmware

root@4e534b3b6847:/# apt clean
root@4e534b3b6847:/# apt install linux-libc-dev
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
The following NEW packages will be installed:
linux-libc-dev
0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 1,769 kB of archives.
After this operation, 7,508 kB of additional disk space will be used.
Ign:1 http://archive.ubuntu.com/ubuntu noble-updates/main amd64 linux-libc-dev amd64 6.8.0-51.52
Err:1 http://security.ubuntu.com/ubuntu noble-updates/main amd64 linux-libc-dev amd64 6.8.0-51.52
404  Not Found [IP: 185.125.190.82 80]
E: Failed to fetch http://security.ubuntu.com/ubuntu/pool/main/l/linux/linux-libc-dev_6.8.0-51.52_amd64.deb  404  Not Found [IP: 185.125.190.82 80]
E: Unable to fetch some archives, maybe run apt-get update or try with --fix-missing?

编辑3

在主机上：

  $ apt-cache policy linux-libc-dev
  linux-libc-dev:
  Installed: 6.8.0-52.53
  Candidate: 6.8.0-52.53
  Version table:
  *** 6.8.0-52.53 500
        500 http://mirrors.linode.com/ubuntu noble-updates/main amd64 Packages
        500 http://security.ubuntu.com/ubuntu noble-security/main amd64 Packages
        100 /var/lib/dpkg/status
     6.8.0-31.31 500
        500 http://mirrors.linode.com/ubuntu noble/main amd64 Packages

在 Docker 容器中：

  # apt-cache policy linux-libc-dev
  linux-libc-dev:
  Installed: (none)
  Candidate: 6.8.0-51.52
  Version table:
     6.8.0-51.52 500
        500 http://archive.ubuntu.com/ubuntu noble-updates/main amd64 Packages
        500 http://security.ubuntu.com/ubuntu noble-security/main amd64 Packages
     6.8.0-31.31 500
        500 http://archive.ubuntu.com/ubuntu noble/main amd64 Packages

我最近在我们的网络防火墙上设置了 ECMP，以便在 ISP 之间实现完全多宿主。

SPF 的正确设置并不难，但这种 1970 年代风格的反垃圾邮件工具就没那么简单了...我们的一些交易对手（运行自己的 postfix 实例，必须继续接受我发送的邮件）坚持使用“reject_unknown_client_hostname”运行 postfix，这是来自文档的定义：“当 1）客户端 IP 地址->名称映射失败，或 2）名称->地址映射失败，或 3）名称->地址映射与客户端 IP 地址不匹配时拒绝请求。”基本上，给定 IP 的 PTR 记录确实需要正确。

因为我们的 postfix 服务器不知道对于给定的连接它实际上会传出哪个公共 IP，所以无论它传出哪个链接，我们都必须在 EHLO 消息中发送相同的服务器名称。

除了运行整个其他 postfix 实例之外，我们能想到的最佳解决方案是让两个公共 IP 上的 PTR 记录指向相同的 A 记录名称，然后为该名称设置两个 A 记录，每个 IP 一个。我知道这通常是一个糟糕的想法，因为许多操作系统库甚至不会向客户端返回多个 A 记录，这肯定会导致难以解决的故障。还有其他选择吗？

以下元素

# postconf myhostname
myhostname = hostname.example.com
# postconf mydomain
mydomain = example.com
# postqueue -p
-Queue ID-  --Size-- ----Arrival Time---- -Sender/Recipient-------
87C5DDD44B*     418 Mon Jan  6 13:02:36  root@ubuntu-4gb-nbg1-1
                                         [email protected]

导致收件人邮件服务器超时：

connect to in-smtp.example.org[192.0.2.1]:25: Connection timed out

邮件发件人标识from=<root@ubuntu-4gb-nbg1-1>为mail.log。

hostname.example.com和拥有其example.com适当的 DNSA记录和TXT SPF允许的记录ip4:198.51.100.1。

服务提供商（在本例中为 Hetzner）具有针对设置为 的主 IPv4 地址的反向 DNS 条目example.com。

我以为是邮件发件人字符串被 MX 服务器拒绝了。但是当我这样做时， 日志中出现了正确的发件人。mail -s 'subject' "From: [email protected]" [email protected]

那么配置可能缺少什么呢？