Есть идеи, почему домен, размещенный в Azure, может привести к тому, что Windows DNS (кэширующий преобразователь) не сможет выполнить все поиски?

Question

Есть идеи, почему домен, размещенный в Azure, может привести к тому, что Windows DNS (кэширующий преобразователь) не сможет выполнить все поиски?

На прошлой неделе у нас внезапно возникли проблемы с разрешением полного доменного имени (syrex.quosalsell.com) в нашей корпоративной сети. Последний раз на серверах Windows были установлены обновления после вторника исправлений в январе, поэтому никаких изменений нет.

Мне кажется, что Azure делает что-то не так, поскольку другой почти идентичный домен, размещенный в другом месте, работает отлично. Однако я не могу понять, что они делают не так.

Мы не владеем доменом, он связан с услугой, которую мы используем, и этот поставщик услуг сообщает нам, что это проблема в нашей среде. Для проверки мы развернули новый чистый, неприсоединенный Windows Server 2022, установили роль DNS, а затем получили якорь доверия (проверка DNSSEC включена по умолчанию, начиная с Windows Server 2016, но якорь доверия не извлекается автоматически, поэтому он фактически отключен до тех пор, пока он не будет отключен). этот).

Мы получили якорь доверия, тем самым включив проверку DNSSEC, с помощью следующей команды:Get-DnsServerTrustAnchor -Name .

Примечание. Мы можем разрешить домен через Google (8.8.8.8), Cloudflare (1.1.1.1) и наши собственные рекурсивные преобразователи DNS (BIND v9.16.37-1~deb11u1), у всех которых включена проверка DNSSEC. Это не тот случай, когда настроена запись DS, но зона не подписана.

Нюанс заключается в следующем: если мы отправляем обычные запросы «A» для домена, он работает как положено, но когда мы отправляем запрос на запись «DS», DNS-сервер Windows Server 2022 кэширует ответ SERVFAIL и после этого отвечает SERVFAIL на любые дальнейшие запросы. клиентские запросы относительно этого полного доменного имени.

В приведенных ниже примерах мы отправили запросы на новый DNS-сервер от клиента (192.168.1.77), у которого настроена переадресация в сторону Google (8.8.8.8). Однако проблема не в Google, поскольку DNS Windows ведет себя одинаково, когда мы используем наши собственные рекурсивные преобразователи (BIND, работающие в Debian 11) или Cloudflare (1.1.1.1).

Проблемный домен, размещенный в Azure:

      2023/02/07 21:04:34 158C PACKET  00000221C36BE530 UDP Snd 8.8.8.8         e95b   Q [1001   D   NOERROR] DNSKEY (0)
2023/02/07 21:04:35 1A68 PACKET  00000221C508D0B0 UDP Rcv 8.8.8.8         e95b R Q [b081   DR  NOERROR] DNSKEY (0)
2023/02/07 21:04:36 1A68 PACKET  00000221C322E5E0 UDP Rcv 192.168.1.77    a476   Q [2001   D   NOERROR] DS     (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:36 1A68 PACKET  00000221C36A58A0 UDP Snd 8.8.8.8         58c3   Q [1001   D   NOERROR] DS     (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:36 1A68 PACKET  00000221C6CEBDC0 UDP Rcv 8.8.8.8         58c3 R Q [9081   DR  NOERROR] DS     (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:36 1A68 PACKET  00000221CA727910 UDP Snd 8.8.8.8         1f93   Q [1001   D   NOERROR] DS     (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:37 1A68 PACKET  00000221C4D61CC0 UDP Rcv 8.8.8.8         1f93 R Q [9281   DR SERVFAIL] DS     (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:37 1A68 PACKET  00000221C322E5E0 UDP Snd 192.168.1.77    a476 R Q [8281   DR SERVFAIL] DS     (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:38 1A68 PACKET  00000221C32310A0 UDP Rcv 192.168.1.77    5c95   Q [2001   D   NOERROR] NS     (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:38 1A68 PACKET  00000221C32310A0 UDP Snd 192.168.1.77    5c95 R Q [8281   DR SERVFAIL] NS     (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:39 1A68 PACKET  00000221C508D0B0 UDP Rcv 192.168.1.77    4d06   Q [2001   D   NOERROR] A      (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:39 1A68 PACKET  00000221C508D0B0 UDP Snd 192.168.1.77    4d06 R Q [8281   DR SERVFAIL] A      (5)syrex(10)quosalsell(3)com(0)

После небольшого поиска мы наконец нашли другое (не связанное) полное доменное имя, которое также не использует DNSSEC, где полное доменное имя преобразуется в CNAME в другое полное доменное имя. В этом случае проблема не возникает, она возникает только в зонах DNS, размещенных в Azure:

      2023/02/07 21:50:50 1FBC PACKET  00000242ED8BBB20 UDP Snd 8.8.8.8         dd69   Q [1001   D   NOERROR] DNSKEY (0)
2023/02/07 21:50:51 17CC PACKET  00000242EE6699A0 UDP Rcv 8.8.8.8         dd69 R Q [b081   DR  NOERROR] DNSKEY (0)
2023/02/07 21:50:52 17CC PACKET  00000242ED8C9650 UDP Rcv 192.168.1.77    fa6d   Q [2001   D   NOERROR] DS     (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:52 17CC PACKET  00000242ED8B9060 UDP Snd 8.8.8.8         1f42   Q [1001   D   NOERROR] DS     (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242EDD95D40 UDP Rcv 8.8.8.8         1f42 R Q [9081   DR  NOERROR] DS     (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F4D9C070 UDP Snd 8.8.8.8         d346   Q [1001   D   NOERROR] DS     (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F07191B0 UDP Rcv 8.8.8.8         d346 R Q [9081   DR  NOERROR] DS     (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F4D9C070 UDP Snd 8.8.8.8         16a2   Q [1001   D   NOERROR] DS     (6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F0B968D0 UDP Rcv 8.8.8.8         16a2 R Q [9081   DR  NOERROR] DS     (6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F4DB4D00 UDP Snd 8.8.8.8         37f2   Q [1001   D   NOERROR] DS     (2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F0CA40F0 UDP Rcv 8.8.8.8         37f2 R Q [9081   DR  NOERROR] DS     (2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F4DBFD40 UDP Snd 8.8.8.8         eaa1   Q [1001   D   NOERROR] DNSKEY (2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242EFDB2D80 UDP Rcv 8.8.8.8         eaa1 R Q [b081   DR  NOERROR] DNSKEY (2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F4DC2950 UDP Snd 8.8.8.8         7e83   Q [1001   D   NOERROR] DS     (2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F0923990 UDP Rcv 8.8.8.8         7e83 R Q [9081   DR  NOERROR] DS     (2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F4DBFD40 UDP Snd 8.8.8.8         0082   Q [1001   D   NOERROR] DNSKEY (2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F0CD58A0 UDP Rcv 8.8.8.8         0082 R Q [b081   DR  NOERROR] DNSKEY (2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F4DB4D00 UDP Snd 8.8.8.8         d7e1   Q [1001   D   NOERROR] DS     (2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242EE4649E0 UDP Rcv 8.8.8.8         d7e1 R Q [9081   DR  NOERROR] DS     (2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F4D9C070 UDP Snd 8.8.8.8         a2e6   Q [1001   D   NOERROR] DNSKEY (10)cloudflare(3)NET(0)
2023/02/07 21:50:54 17CC PACKET  00000242F063FDD0 UDP Rcv 8.8.8.8         a2e6 R Q [b081   DR  NOERROR] DNSKEY (10)cloudflare(3)NET(0)
2023/02/07 21:50:54 17CC PACKET  00000242F4DB4D00 UDP Snd 8.8.8.8         a3d6   Q [1001   D   NOERROR] DS     (10)cloudflare(3)NET(0)
2023/02/07 21:50:54 17CC PACKET  00000242F1137890 UDP Rcv 8.8.8.8         a3d6 R Q [b081   DR  NOERROR] DS     (10)cloudflare(3)NET(0)
2023/02/07 21:50:54 17CC PACKET  00000242F4DBFD40 UDP Snd 8.8.8.8         b3ca   Q [1001   D   NOERROR] DNSKEY (3)NET(0)
2023/02/07 21:50:54 17CC PACKET  00000242EEDE5990 UDP Rcv 8.8.8.8         b3ca R Q [b081   DR  NOERROR] DNSKEY (3)NET(0)
2023/02/07 21:50:54 17CC PACKET  00000242F4DC2950 UDP Snd 8.8.8.8         6e5e   Q [1001   D   NOERROR] DS     (3)NET(0)
2023/02/07 21:50:54 17CC PACKET  00000242F016D0C0 UDP Rcv 8.8.8.8         6e5e R Q [b081   DR  NOERROR] DS     (3)NET(0)
2023/02/07 21:50:54 17CC PACKET  00000242ED8C9650 UDP Snd 192.168.1.77    fa6d R Q [8281   DR SERVFAIL] DS     (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:56 17CC PACKET  00000242ED8CC110 UDP Rcv 192.168.1.77    1f52   Q [2001   D   NOERROR] NS     (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:56 17CC PACKET  00000242ED8C9650 UDP Snd 8.8.8.8         6d76   Q [1001   D   NOERROR] NS     (3)www(6)rsaweb(2)co(2)za(3)cdn(10)cloudflare(3)NET(0)
2023/02/07 21:50:56 17CC PACKET  00000242EE0CE070 UDP Rcv 8.8.8.8         6d76 R Q [b081   DR  NOERROR] NS     (3)www(6)rsaweb(2)co(2)za(3)cdn(10)cloudflare(3)NET(0)
2023/02/07 21:50:56 17CC PACKET  00000242ED8CC110 UDP Snd 192.168.1.77    1f52 R Q [8081   DR  NOERROR] NS     (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:58 17CC PACKET  00000242EE6699A0 UDP Rcv 192.168.1.77    f63c   Q [2001   D   NOERROR] A      (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:58 17CC PACKET  00000242ED8CC110 UDP Snd 8.8.8.8         ded8   Q [1001   D   NOERROR] A      (3)www(6)rsaweb(2)co(2)za(3)cdn(10)cloudflare(3)NET(0)
2023/02/07 21:50:58 17CC PACKET  00000242EED2A9E0 UDP Rcv 8.8.8.8         ded8 R Q [9081   DR  NOERROR] A      (3)www(6)rsaweb(2)co(2)za(3)cdn(10)cloudflare(3)NET(0)
2023/02/07 21:50:58 17CC PACKET  00000242EE6699A0 UDP Snd 192.168.1.77    f63c R Q [8081   DR  NOERROR] A      (3)www(6)rsaweb(2)co(2)za(0)

0

domain-name-system windows-dns azure-dns

Источник

David Herselman 08 фев '23 в 14:52

0 ответов

Другие вопросы по тегам domain-name-system windows-dns azure-dns