Серверы имен не согласны с последовательностью SOA

Question

Серверы имен не согласны с последовательностью SOA

У меня есть два домена, указывающие на один и тот же IP-адрес с записями А. Оба домена используют одни и те же два сервера имен, и все же у меня большие проблемы с подключением для многих, но не для всех клиентов, приходящих на сайт. IntoDNS сообщает, что серверы имен не согласуются с последовательностью SOA, но это происходит только для одного из доменов.

Итак, проведя некоторое тестирование позже, я обнаружил, что общедоступные DNS-серверы Google даже не отвечают на пинг из домена, который не работает, но другие общедоступные DNS-серверы работают, и они также обслуживают веб-страницу. Я протестировал 4.2.2.1, 4.2.2.2 и 208.67.222.222, все общедоступные DNS-серверы. При посещении веб-сайта выдается ошибка:

ERR_NAME_NOT_RESOLVED

Кто-нибудь знает, что это может значить? Сериалы серверов имен не работают в одном домене, а не в другом, когда они оба указывают на один и тот же адрес? И что гугл DNS его не индексирует, а другие делают?

Я думаю, что я прошел ограничение по времени обновления, как это было в течение более недели.

копать результаты из Google DNS:

; <<>> DiG 9.8.5-P1 <<>> @8.8.8.8 woolland.se
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 44011
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;woolland.se.           IN  A

;; Query time: 97 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sat Sep 14 12:39:15 BST 2013
;; MSG SIZE  rcvd: 29

копать результаты из 4.2.2.1:

; <<>> DiG 9.8.5-P1 <<>> @4.2.2.1 woolland.se
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62739
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;woolland.se.           IN  A

;; ANSWER SECTION:
woolland.se.        3253    IN  A   91.207.159.238

;; Query time: 46 msec
;; SERVER: 4.2.2.1#53(4.2.2.1)
;; WHEN: Sat Sep 14 12:40:27 BST 2013
;; MSG SIZE  rcvd: 45

3

domain-name-system nameserver soa-record

Источник

Alex 14 сен '13 в 11:41

1 ответ

Другие вопросы по тегам domain-name-system nameserver soa-record

Falcon Momot 14 сен '13 в 12:37 2013-09-14 12:37 · Answer 1 · 2013-09-14 12:37

Я подозреваю, без вашего упоминания, что проблемы с подключением действительно могут быть вызваны проблемами с разрешением DNS.

Я не уверен, почему именно 8.8.8.8 ведет себя так же, как и при разрешении вашего имени, но вы можете найти некоторые интересные результаты при изучении проблем DNSSEC.

Сначала сделаем трассировку (для краткости я уберу много вещей):

$ dig +trace @8.8.8.8 in a woolland.se
<snip>
woolland.se.            86400   IN      NS      ns1.uniweb.no.
woolland.se.            86400   IN      NS      ns3.uniweb.no.
woolland.se.            3600    IN      DS      47206 8 1 0F680594167E22758CED534A22CC6B0DF7092BB9
woolland.se.            3600    IN      DS      47206 8 2 ED352517E9D3A24071F3E5183E2A0EC200A28E328089E1C9659A382B D5FBC616
woolland.se.            3600    IN      RRSIG   DS 5 2 3600 20130924164158 20130911081201 6388 se. accBgRdJlBn18VVNysPhBmmVBsMeiLC58cMg9kVYUTYqg4iLtPmPKH/X FD6HqR8rWFzXvUIMs11SHl2ImJL9MOC0ggWMz4Lc/CcrfYveHEolJ9BX 9b5tImUlJrp6t7A4+U9oW354aJDfhdd8cEJmUNDZUq1LbmfoGolF588g Y9g=
;; Received 331 bytes from 2001:67c:254c:301::53#53(2001:67c:254c:301::53) in 214 ms

woolland.se.            3600    IN      A       91.207.159.238
;; Received 45 bytes from 109.247.131.38#53(109.247.131.38) in 190 ms

Вы можете заметить, что в конце рекурсии мы не получаем RRSIG для вашей зоны. Однако бывает так, что мы получаем запись DS (делегирование подписи) с серверов TLD.se:

$ dig @j.ns.se in ds woolland.se
<snip>
;; QUESTION SECTION:
;woolland.se.                   IN      DS

;; ANSWER SECTION:
woolland.se.            3600    IN      DS      47206 8 1 0F680594167E22758CED534A22CC6B0DF7092BB9
woolland.se.            3600    IN      DS      47206 8 2 ED352517E9D3A24071F3E5183E2A0EC200A28E328089E1C9659A382B D5FBC616

Наличие записи DS указывает, что ваша зона подписана, но это не так.

Что вам нужно сделать, это либо каким-либо образом извлечь запись DS из корневого каталога.se, либо обновить ее и настроить DNSSEC в своем домене.

DNS-серверы уровня 3 (еще?) Не полностью настроены для работы с DNSSEC; вы можете заметить, что даже если вы установили AD и сбросили CD в своих запросах к ним, вы никогда не получите ответ с флагом AD обратно. Точно так же DNS-сервер Google 8.8.8.8 полностью поддерживает DNSSEC, и поэтому запросы для вашего домена с установленным флагом CD дадут ваш адрес (этот флаг означает "отключение проверки"):

$ dig @8.8.8.8 +cdflag in a woolland.se

; <<>> DiG 9.9.2-P2 <<>> @8.8.8.8 +cdflag in a woolland.se
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53877
;; flags: qr rd ra cd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;woolland.se.                   IN      A

;; ANSWER SECTION:
woolland.se.            3471    IN      A       91.207.159.238

;; Query time: 46 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sat Sep 14 08:02:31 2013
;; MSG SIZE  rcvd: 56

Различающиеся серийные номера не имеют к этому никакого отношения, хотя они указывают на то, что ваши два DNS-сервера могут быть не синхронизированы. Убедитесь, что они реплицируются правильно; если серийный номер на ведущем устройстве ниже, чем на ведомом устройстве, увеличьте один на ведущем устройстве до более высокого значения, чем оба.