Saya memiliki masalah yang sangat aneh dengan DNS saya. Nama domain saya ( strugee.net
) tidak dapat dipecahkan dari beberapa jaringan, dan dapat diselesaikan dari yang lain.
Misalnya, di jaringan rumah saya (jaringan yang sama dengan server aktif):
% dig strugee.net
; <<>> DiG 9.10.3-P4 <<>> strugee.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10086
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;strugee.net. IN A
;; ANSWER SECTION:
strugee.net. 1800 IN A 216.160.72.225
;; Query time: 186 msec
;; SERVER: 205.171.3.65#53(205.171.3.65)
;; WHEN: Sat Apr 16 15:42:36 PDT 2016
;; MSG SIZE rcvd: 56
Namun, jika saya masuk ke server yang saya miliki di Digital Ocean, domain gagal menyelesaikan:
% dig strugee.net
; <<>> DiG 9.9.5-9+deb8u3-Debian <<>> strugee.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 58551
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;strugee.net. IN A
;; Query time: 110 msec
;; SERVER: 2001:4860:4860::8844#53(2001:4860:4860::8844)
;; WHEN: Sat Apr 16 18:44:25 EDT 2016
;; MSG SIZE rcvd: 40
Tapi , langsung menuju nameserver yang berwibawa berfungsi dengan baik:
% dig @dns1.registrar-servers.com strugee.net
; <<>> DiG 9.9.5-9+deb8u3-Debian <<>> @dns1.registrar-servers.com strugee.net
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30856
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 1
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;strugee.net. IN A
;; ANSWER SECTION:
strugee.net. 1800 IN A 216.160.72.225
;; AUTHORITY SECTION:
strugee.net. 1800 IN NS dns3.registrar-servers.com.
strugee.net. 1800 IN NS dns4.registrar-servers.com.
strugee.net. 1800 IN NS dns2.registrar-servers.com.
strugee.net. 1800 IN NS dns1.registrar-servers.com.
strugee.net. 1800 IN NS dns5.registrar-servers.com.
;; Query time: 3 msec
;; SERVER: 216.87.155.33#53(216.87.155.33)
;; WHEN: Sat Apr 16 18:46:36 EDT 2016
;; MSG SIZE rcvd: 172
Sudah cukup jelas bahwa ada masalah dengan beberapa jaringan besar di suatu tempat yang gagal menyelesaikan domain saya, tetapi saya tidak bisa mencari tahu di mana. Saya membaca halaman dig
manual untuk opsi-opsi yang mungkin membantu, tetapi tidak menemukan sesuatu yang sangat berguna.
Saya menggunakan Namecheap sebagai pendaftar domain serta hosting DNS. Saya mengaktifkan opsi DNSSEC. Saya belum membuat perubahan pada pengaturan DNS saya baru-baru ini.
Bagaimana saya bisa men-debug masalah ini dan menemukan server nama yang menyinggung?
sumber
SERVFAIL
mungkin mengindikasikan masalah di hulu, tetapi masih menunjukkan paket balasan.strugee.net
memiliki lima catatan NS, tetapi tidak adaAAAA
catatanA
lem, hanya catatan lem. Yang lebih buruk adalah bahwa kelimaA
catatan lem tersebut hanya menunjuk ke dua alamat IP yang berbeda. Sepertinya setup yang cukup rapuh. Bahkan jika itu bukan akar penyebab masalah yang dihadapi, itu adalah sesuatu yang harus diwaspadai.Jawaban:
daxd5 menawarkan beberapa saran awal yang baik, tetapi satu-satunya jawaban nyata di sini adalah bahwa Anda perlu tahu bagaimana berpikir seperti server DNS rekursif. Karena ada banyak kesalahan konfigurasi pada lapisan otoritatif yang dapat mengakibatkan tidak konsisten
SERVFAIL
, Anda memerlukan alat profesional DNS atau validasi online.Lagi pula, tujuannya bukan untuk membantu Anda, tetapi saya ingin memastikan bahwa Anda memahami bahwa tidak ada jawaban pasti untuk pertanyaan itu.
Dalam kasus khusus Anda, saya perhatikan bahwa itu
strugee.net
tampaknya zona yang ditandatangani dengan DNSSEC. Ini terbukti dari kehadiranDS
danRRSIG
catatan dalam rantai rujukan:Sebelum kita melangkah lebih jauh, kita perlu memeriksa apakah penandatanganan itu valid atau tidak. DNSViz adalah alat yang sering digunakan untuk tujuan ini, dan itu menegaskan bahwa memang ada masalah . Warna merah marah di gambar menunjukkan bahwa Anda memiliki masalah, tetapi alih-alih meributkan semua yang kita bisa perluas Pemberitahuan di bilah sisi kiri:
Masalahnya jelas: tanda tangan di zona Anda telah kedaluwarsa dan kunci perlu di-refresh. Alasan mengapa Anda melihat hasil yang tidak konsisten adalah karena tidak semua server rekursif memiliki validasi DNSSEC. Yang memvalidasi menjatuhkan domain Anda, dan untuk yang tidak, itu adalah bisnis seperti biasa.
Sunting: Infrastruktur DNS Comcast dikenal untuk mengimplementasikan validasi DNSSEC, dan sebagai salah satu pelanggan mereka, saya dapat mengonfirmasi bahwa saya juga melihat sebuah
SERVFAIL
.sumber
stugee.net
dalam output penggalian, yang jelas merupakan kesalahan ketik. Bagian DNSSEC dari analisis ini dilakukan terhadap nama yang benar.Meskipun Anda memang melihat bahwa server nama resmi merespons dengan benar, Anda perlu menindaklanjuti seluruh rantai resolusi DNS. Ini, berjalan menyusuri seluruh hirarki DNS dari server root ke atas.
Ini pada dasarnya memeriksa apakah server DNS publik berfungsi, dan Anda melakukan hal yang sama dengan yang harus dilakukan oleh resolver DNS Anda. Jadi Anda harus mendapatkan jawaban yang sama seperti di atas di server Digital Ocean Anda kecuali ada yang salah dengan resolver DNS mereka:
Jika dua kueri pertama gagal, berarti DNS di Digital Ocean gagal. Periksa
/etc/resolv.conf
dan coba kueri server DNS sekunder. Jika yang kedua berfungsi, cukup ganti urutan untuk resolver dan coba lagi.sumber