Mengapa DNS tidak menyelesaikan setelah server nama berubah, meskipun pencarian DNS rekursif berhasil?

12

Saya baru-baru ini memigrasi domain yang saya miliki dari Cloudflare ke Netlify DNS, jadi saya harus memperbarui server nama saya. Ketika saya menjalankan pencarian DNS rekursif yang mem-bypass cache DNS, semuanya tampaknya diatur dengan benar:

$ dig howtogit.net +trace
(output truncated)
howtogit.net.       20  IN  A   159.65.199.87
;; Received 57 bytes from 198.51.44.1#53(dns1.p01.nsone.net) in 18 ms

Namun, pencarian DNS reguler gagal:

$ nslookup howtogit.net                                                                               
Server:     192.168.1.1
Address:    192.168.1.1#53

** server can't find howtogit.net: SERVFAIL

Saya berasumsi bahwa jika caching salah, Cloudflare masih akan menyelesaikan pencarian yang tidak. Pencarian di 8.8.8.8 (DNS Google) juga gagal:

$ dig @8.8.8.8 howtogit.net

; <<>> DiG 9.10.6 <<>> @8.8.8.8 howtogit.net
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 63809
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;howtogit.net.          IN  A

;; Query time: 43 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sun Sep 23 13:05:50 CEST 2018
;; MSG SIZE  rcvd: 41

Karena catatan DNS di-cache, saya juga mencoba membersihkan cache DNS Google untuk catatan NS dan A saya. Saya masih mendapatkan hasil yang sama, meskipun perubahan telah terjadi lebih dari 10 jam yang lalu.

Apakah konfigurasi saya salah? Bagaimana saya memastikan DNS saya dapat teratasi dengan baik lagi?

domain-name-system Pieter
sumber
1
Dalam kasus seperti ini, alat seperti dnsviz.netseharusnya dengan mudah menunjukkan kepada Anda ada masalah DNSSEC. Bahkan Anda dapat dengan jelas melihat masalahnya di sini: dnsviz.net/d/howtogit.net/W6d5WA/dnssec yang dapat Anda bandingkan dengan yang saat ini bekerja: dnsviz.net/d/howtogit.net/W6kJlg/dnssec
Patrick Mevzek
Ya, saya sudah menemukannya. Pada akhirnya saya memutuskan untuk bermigrasi kembali ke Cloudflare karena Netlify DNS tidak mendukung DNSSEC. Tapi senang tahu!
Pieter
DNSSEC memang sulit. Kompromi antara fitur yang disediakannya dan langkah-langkah yang diperlukan untuk memilikinya. Dalam kasus terkait, tip pemecahan masalah: jika diggagal dengan SERVFAIL tetapi jika Anda mengulangi penambahan yang sama persis +cddan itu tidak gagal lagi, maka itu mungkin berarti masalahnya terkait DNSSEC. +cdmenonaktifkan pengecekan DNSSEC, maka kemungkinan perbedaannya Tetapi SERVFAIL dapat terjadi karena banyak masalah, tidak ada (untuk saat ini) kode kesalahan yang diperluas dalam DNS ...
Patrick Mevzek

Jawaban:

24

Tampaknya howtogit.netzona yang digunakannya untuk dia tandatangani, dan bahwa setelah mengganti server nama, ia tidak lagi ditandatangani.

Namun, Anda telah meninggalkan DScatatan lama di tempat, menunjukkan bahwa zona tersebut harus ditandatangani dengan beberapa kunci tertentu.

Hapus DScatatan atau tandatangani lagi zona dan perbarui DScatatan sebagaimana diperlukan ( DScatatan dikelola melalui pendaftar Anda).

Jika Anda melihat bagian ujung dari dig +traceoutput yang relevan , sebenarnya cukup jelas bahwa ini harus menjadi kasus ( DSsebagai bagian dari rujukan tetapi tidak ada DNSKEYpada ujung otoritatif, atau hanya tidak ada tanda tangan jika Anda meminta beberapa jenis lain):

$ dig +trace +all howtogit.net DNSKEY

...

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63298
;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 5

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;howtogit.net.                  IN      DNSKEY

;; AUTHORITY SECTION:
howtogit.net.           172800  IN      NS      dns1.p01.nsone.net.
howtogit.net.           172800  IN      NS      dns2.p01.nsone.net.
howtogit.net.           172800  IN      NS      dns3.p01.nsone.net.
howtogit.net.           172800  IN      NS      dns4.p01.nsone.net.
howtogit.net.           86400   IN      DS      2371 13 2 F7822E035739507BFB9ED504B65FFE7A95698E58C069EF1DE754EED0 55E6799F
howtogit.net.           86400   IN      RRSIG   DS 8 2 86400 20180927051931 20180920040931 7934 net. POLNdGPgCCeF6ClG4ro1mkUI5DpqUuuLLeR4WCly1L5GbOTgPnzg02Nx 2Sse2dYDLJLB1EQYotZkvVm8GNFS5iE8UQlmp4GA3yxTgUeifw5PX6Eh kiJSip37/CyGCTy6OMPoVeMgQjLnrxt1aAOsnO5BszeGY7gD6ee/XHMO zc4=

;; ADDITIONAL SECTION:
dns1.p01.nsone.net.     172800  IN      A       198.51.44.1
dns2.p01.nsone.net.     172800  IN      A       198.51.45.1
dns3.p01.nsone.net.     172800  IN      A       198.51.44.65
dns4.p01.nsone.net.     172800  IN      A       198.51.45.65

;; Query time: 159 msec
;; SERVER: 2001:503:231d::2:30#53(2001:503:231d::2:30)
;; WHEN: Sun Sep 23 11:35:52 UTC 2018
;; MSG SIZE  rcvd: 402

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53062
;; flags: qr aa; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;howtogit.net.                  IN      DNSKEY

;; AUTHORITY SECTION:
howtogit.net.           3600    IN      SOA     dns1.p01.nsone.net. hostmaster.nsone.net. 1537613509 43200 7200 1209600 3600

;; Query time: 1 msec
;; SERVER: 198.51.45.65#53(198.51.45.65)
;; WHEN: Sun Sep 23 11:35:52 UTC 2018
;; MSG SIZE  rcvd: 103

$
Håkan Lindqvist
sumber
1
Anda tepat ... sepertinya saya lupa menonaktifkan DNSSEC sebelum bermigrasi. Saya menghapus data DS dengan pendaftar saya dan 8.8.8.8 segera mulai menyelesaikan domain dengan benar.
Pieter
5
@Pieter Tidak masalah. Terima kasih karena tidak mengaburkan pertanyaan spesifik, yang sebaliknya cenderung membuat pertanyaan seperti ini sulit dijawab.
Håkan Lindqvist