Warum kann der DNS-Server keine Domain auflösen, die auf .io endet?

10

Ich habe zwei Windows-Domänencontroller.

10.10.10.10 Primär (Gewinn 2008 r2)
10.10.10.20 Replik (Gewinn 2012 r2)

Der zweite ist als Replikat des ersten konfiguriert.

Ungefähr einmal pro Woche werden die meisten .io Domains vom primären DC negativ zwischengespeichert . Dies macht es so, dass niemand im Unternehmen auf Websites zugreifen kann wie:

chef.io
packer.io
yahoo.io
github.io

Seltsamerweise kann ich immer noch auf einige .io-Seiten zugreifen, wie die auf github.io

spuder.github.io/

Die Lösung besteht darin, RDP auf den DNS-Server zu übertragen und auszuführen dnscmd /clearcache. Das behebt das Problem für 7 bis 10 Tage.

Weitere Symptome

  • Betrifft nur den primären Domänencontroller (der sekundäre und andere Domänencontroller können diese Sites problemlos auflösen).
  • Google DNS-Server funktionieren auch
  • Normalerweise geschieht dies mittwochs gegen 11 Uhr.

Ich bin mit Windows nicht sehr vertraut, aber hier sind die Dinge, die ich versucht habe

  • Schauen Sie sich die Protokolle an, ich sehe nur die folgenden Zeilen, die interessant aussehen

8:15AM
The DNS server wrote version 4638 of zone 254.10.in-addr.arpa to file 254.10.in-addr.arpa.dns..in-addr.arpa to file 254.10.in-addr.arpa.dns.

8:16AM
A more recent version, version 4639 of zone 254.10.in-addr.arpa was found at the DNS server at 10.254.40.51. Zone transfer is in progress.ic replication between domain controllers in a common domain or forest. By installing multiple domain controllers in a domain running DNS Server, you can ensure that DNS will continue to work when a domain co
  • Stellen Sie sicher, dass für die .io-Domäne keine Forward- oder Reverse-Lookupzonen vorhanden sind
  • Stellen Sie sicher, dass die Hosts-Datei nichts enthält, was die .io-Domäne blockiert
  • Vergleichen Sie die Ausgabe ipconfig /displaydnsaller Domänencontroller

Kann ich noch etwas untersuchen, um herauszufinden, warum der DNS-Cache immer wieder so vorhersehbar beschädigt wird? Gibt es eine Windows-DNS-Einstellung, die den Cache beim Ausführen von Zonenübertragungen zwangsweise leeren kann?

Update
Ich habe dies auf die Tatsache eingegrenzt, dass ich kurz vor dem Mittwochstreffen häufig von kabelgebunden zu kabellos wechsle. Das WLAN verfügt über 1 Windows 2008 DNS-Server und 1 Windows 2012 DNS-Server. Wenn der 2008-Server als primär ausgewählt ist, tritt das Problem erneut auf. Die Problemumgehung besteht darin, dies auszuführen dnscmd /clearcache. Da der Server 2008 nicht mehr verfügbar ist, kann sich dieses Problem sicher von selbst beheben.

Spuder
quelle
Das ist schrecklich spezifisch. Es ist, als ob die Nameserver-Daten für die ioTLD überlastet werden oder ein Upstream-Netzwerkgerät, das nicht mit dem sekundären DC gemeinsam genutzt wird, aufgrund von Richtlinien zur Überprüfung tiefer Pakete durcheinander gerät. Stellen Sie sicher, dass auf dem primären DC keine Zonen vorhanden sind, die die Upstream-Nameserver für diese TLD stören könnten. ( ., io, net, ac, uk, co.uk, ns13.net, nic.io, nic.ac, icb.co.uk, communitydns.net) Klingt dumm, aber die Leute manchmal tun sehr hirntot Dinge beim Versuch , ihre DC als DNS - Firewalling - Lösung zu verwenden.
Andrew B
Sie können auch überprüfen, wie Ihre DNS-Server nicht lokale Suchvorgänge durchführen. Überprüfen Sie für jeden Ihrer DNS-Server die Einstellungen für Weiterleitungen und Stammhinweise. Wenn einer eine gefilterte Weiterleitung verwendet und der andere nicht, könnte dies Ihr Problem sein. Wenn Sie alternativ nur eine Weiterleitung und einen unvollständigen Satz von Stammhinweisen haben, können Sie Probleme damit nachschlagen.
Mark
1
Was sonst in Ihrem System passiert mittwochs um 11 Uhr, was dazu führen kann, dass dieser Server diese Domänen nicht durchsucht (und den Fehler zwischenspeichert)?
Calle Dybedahl
Wenn das Problem auf dem Client liegt, werden einige * .io-Domains erst behoben, wenn Sie den Cache leeren. Wenn Sie die DNS-Konsole verwenden, zeigt die GUI der Konsole die richtigen IP-Adressen für diese Namen im Cache an?
starke Linie
Ist Ihr DNS-Server für die Verwendung von Weiterleitungen konfiguriert?
Mike Marseglia

Antworten:

1

Aktualisieren Sie möglicherweise Ihre root.hints-Datei. Möglicherweise weist es auf einige alte Root-Nameserver hin, die (aus irgendeinem Grund) keine .io-Domains zurückgeben.

Möglicherweise haben Sie ein Routing-Problem, das den Zugriff auf sie verhindert (z. B. Sie blockieren den IP-Bereich, in dem sie ausgeführt werden), wodurch das Nachschlagen der darin enthaltenen Domänen verhindert wird. Dies ist meine Wette - vielleicht haben Sie eine Firewall-Regel gegen ein Land oder einen IP-Block. Verwenden Sie meine Ergebnisse unten, um Ihre Firewall zu überprüfen oder ein dig / nslookup für die .io-TLD-Server durchzuführen (Sie können eine Binärdatei für Windows von http://www.isc.org/downloads/ herunterladen).

# dig +trace +identify git.io
...
io.                     172800  IN      NS      b0.nic.io.
io.                     172800  IN      NS      a0.nic.io.
io.                     172800  IN      NS      a2.nic.io.
io.                     172800  IN      NS      ns-a1.io.
io.                     172800  IN      NS      ns-a3.io.
io.                     172800  IN      NS      c0.nic.io.
...

Können Sie alle diese DNS-Server direkt erreichen? Ihr DNS-Server verwendet beispielsweise wiederholt den ersten in der Liste. Beachten Sie, dass sich diese Liste zu einem bestimmten Zeitpunkt (im Moment) befindet und sich ändert. Sie sollte Ihnen jedoch einen ersten Punkt geben, um festzustellen, ob Sie die .io-Stammnamenserver erreichen können.

# for i in b0.nic.io a0.nic.io a2.nic.io ns-a1.io ns-a3.io c0.nic.io; do host $i; done
b0.nic.io has address 65.22.161.17
b0.nic.io has IPv6 address 2a01:8840:9f::17
a0.nic.io has address 65.22.160.17
a0.nic.io has IPv6 address 2a01:8840:9e::17
a2.nic.io has address 65.22.163.17
a2.nic.io has IPv6 address 2a01:8840:a1::17
ns-a1.io has address 194.0.1.1
ns-a1.io has IPv6 address 2001:678:4::1
ns-a3.io has address 74.116.178.1
c0.nic.io has address 65.22.162.17
c0.nic.io has IPv6 address 2a01:8840:a0::17

Wenn Sie Weiterleitungen verwenden, testen Sie einen nslookup für diese Weiterleitungen direkt. Wenn es nicht zurückkehrt, wenden Sie sich an die Person, die es ausführt (Ihren ISP).

==== Update: Angesichts Ihres Updates, bei dem Sie feststellen, dass es passiert, wenn Sie ISPs wechseln, würde ich vermuten, dass eine Ihrer Verbindungen IPv6 verwendet und die andere nur IPv4-fähig ist? Es kann sein, dass die IPv6-Rücksprungadresse zwischengespeichert wird, dies ist jedoch nicht erreichbar, sobald Sie die Verbindung wechseln.

michaelkrieger
quelle