Warum wird der DNS nach einem Nameserverwechsel nicht aufgelöst, obwohl eine rekursive DNS-Suche erfolgreich war?

12

Ich habe kürzlich eine Domain von Cloudflare auf Netlify DNS migriert, sodass ich meine Nameserver aktualisieren musste. Wenn ich eine rekursive DNS-Suche durchführe, die den DNS-Cache umgeht, scheint alles korrekt eingerichtet zu sein:

$ dig howtogit.net +trace
(output truncated)
howtogit.net.       20  IN  A   159.65.199.87
;; Received 57 bytes from 198.51.44.1#53(dns1.p01.nsone.net) in 18 ms

Eine regelmäßige DNS-Suche schlägt jedoch fehl:

$ nslookup howtogit.net                                                                               
Server:     192.168.1.1
Address:    192.168.1.1#53

** server can't find howtogit.net: SERVFAIL

Ich gehe davon aus, dass Cloudflare bei einer fehlerhaften Zwischenspeicherung die Suche immer noch auflöst, was nicht der Fall ist. Ein Blick auf 8.8.8.8 (Googles DNS) schlägt ebenfalls fehl:

$ dig @8.8.8.8 howtogit.net

; <<>> DiG 9.10.6 <<>> @8.8.8.8 howtogit.net
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 63809
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;howtogit.net.          IN  A

;; Query time: 43 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sun Sep 23 13:05:50 CEST 2018
;; MSG SIZE  rcvd: 41

Da DNS-Einträge zwischengespeichert werden, habe ich auch versucht, den DNS-Cache von Google für meine NS- und A-Einträge zu leeren. Ich erhalte immer noch das gleiche Ergebnis, obwohl die Änderung vor über 10 Stunden stattgefunden hat.

Ist meine Konfiguration falsch? Wie stelle ich sicher, dass mein DNS wieder ordnungsgemäß aufgelöst werden kann?

domain-name-system Pieter
quelle
1
In solchen Fällen sollte ein Tool wie dnsviz.netes Ihnen leicht zeigen, dass ein DNSSEC-Problem vorliegt. Tatsächlich können Sie das Problem hier klar erkennen: dnsviz.net/d/howtogit.net/W6d5WA/dnssec , das Sie mit dem aktuellen vergleichen können: dnsviz.net/d/howtogit.net/W6kJlg/dnssec
Patrick Mevzek
Ja, ich habe es herausgefunden. Letztendlich habe ich mich für eine Migration zurück zu Cloudflare entschieden, da Netlify DNS DNSSEC nicht unterstützt. Aber gut zu wissen!
Pieter
DNSSEC ist in der Tat schwierig. Ein Kompromiss zwischen den angebotenen Funktionen und den dafür erforderlichen Schritten. In verwandten Fällen ein Tipp zur Fehlerbehebung: Wenn ein digFehler mit SERVFAIL auftritt, Sie jedoch genau dasselbe Addieren wiederholen +cdund der Fehler nicht mehr auftritt, liegt das Problem wahrscheinlich an DNSSEC. +cdDNSSEC-Prüfungen deaktivieren, daher der mögliche Unterschied. Aber SERVFAIL kann für viele Probleme passieren, es gibt keine (
vorerst

Antworten:

24

Es scheint, dass die howtogit.netZone, in der er signiert hat, nach dem Wechsel des Nameservers nicht mehr signiert ist.

Sie haben jedoch den alten DSDatensatz beibehalten, was darauf hinweist, dass die Zone mit einem bestimmten Schlüssel signiert werden muss.

Entfernen Sie den DSDatensatz oder signieren Sie die Zone erneut und aktualisieren Sie den DSDatensatz nach Bedarf (der DSDatensatz wird von Ihrem Registrar verwaltet).

Wenn Sie sich das hintere Ende der relevanten dig +traceAusgabe ansehen, ist es tatsächlich ziemlich klar, dass dies der Fall sein muss ( DSals Teil der Überweisung, aber nicht DNSKEYam maßgeblichen Ende, oder nur ohne Signaturen, wenn Sie einen anderen Typ abfragen):

$ dig +trace +all howtogit.net DNSKEY

...

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63298
;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 5

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;howtogit.net.                  IN      DNSKEY

;; AUTHORITY SECTION:
howtogit.net.           172800  IN      NS      dns1.p01.nsone.net.
howtogit.net.           172800  IN      NS      dns2.p01.nsone.net.
howtogit.net.           172800  IN      NS      dns3.p01.nsone.net.
howtogit.net.           172800  IN      NS      dns4.p01.nsone.net.
howtogit.net.           86400   IN      DS      2371 13 2 F7822E035739507BFB9ED504B65FFE7A95698E58C069EF1DE754EED0 55E6799F
howtogit.net.           86400   IN      RRSIG   DS 8 2 86400 20180927051931 20180920040931 7934 net. POLNdGPgCCeF6ClG4ro1mkUI5DpqUuuLLeR4WCly1L5GbOTgPnzg02Nx 2Sse2dYDLJLB1EQYotZkvVm8GNFS5iE8UQlmp4GA3yxTgUeifw5PX6Eh kiJSip37/CyGCTy6OMPoVeMgQjLnrxt1aAOsnO5BszeGY7gD6ee/XHMO zc4=

;; ADDITIONAL SECTION:
dns1.p01.nsone.net.     172800  IN      A       198.51.44.1
dns2.p01.nsone.net.     172800  IN      A       198.51.45.1
dns3.p01.nsone.net.     172800  IN      A       198.51.44.65
dns4.p01.nsone.net.     172800  IN      A       198.51.45.65

;; Query time: 159 msec
;; SERVER: 2001:503:231d::2:30#53(2001:503:231d::2:30)
;; WHEN: Sun Sep 23 11:35:52 UTC 2018
;; MSG SIZE  rcvd: 402

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53062
;; flags: qr aa; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;howtogit.net.                  IN      DNSKEY

;; AUTHORITY SECTION:
howtogit.net.           3600    IN      SOA     dns1.p01.nsone.net. hostmaster.nsone.net. 1537613509 43200 7200 1209600 3600

;; Query time: 1 msec
;; SERVER: 198.51.45.65#53(198.51.45.65)
;; WHEN: Sun Sep 23 11:35:52 UTC 2018
;; MSG SIZE  rcvd: 103

$
Håkan Lindqvist
quelle
1
Sie sind genau richtig ... anscheinend habe ich vergessen, DNSSEC vor der Migration zu deaktivieren. Ich habe den DS-Eintrag mit meinem Registrar entfernt und 8.8.8.8 hat sofort damit begonnen, die Domain korrekt aufzulösen.
Pieter
5
@Pieter Kein Problem. Vielen Dank, dass Sie die Details nicht verschleiern, da diese Art von Fragen sonst unnötig schwer zu beantworten sind.
Håkan Lindqvist