How can I debug this problem and find the offending nameserver?
O daxd5 ofereceu bons conselhos iniciais, mas a única resposta real aqui é que você precisa saber como pensar como um servidor DNS recursivo. Como há várias configurações incorretas na camada autoritativa que podem resultar em um SERVFAIL
inconsistente, você precisa de um profissional de DNS ou de ferramentas de validação on-line.
De qualquer forma, o objetivo não é evitar você, mas queria ter certeza de que você entende que não há uma resposta conclusiva para essa pergunta.
No seu caso em particular, notei que strugee.net
parece ser uma zona assinada com o DNSSEC. Isso fica evidente pela presença dos registros DS
e RRSIG
na cadeia de referência:
# dig +trace +additional strugee.net
<snip>
strugee.net. 172800 IN NS dns2.registrar-servers.com.
strugee.net. 172800 IN NS dns1.registrar-servers.com.
strugee.net. 172800 IN NS dns3.registrar-servers.com.
strugee.net. 172800 IN NS dns4.registrar-servers.com.
strugee.net. 172800 IN NS dns5.registrar-servers.com.
strugee.net. 86400 IN DS 16517 8 1 B08CDBF73B89CCEB2FD3280087D880F062A454C2
strugee.net. 86400 IN RRSIG DS 8 2 86400 20160423051619 20160416040619 50762 net. w76PbsjxgmKAIzJmklqKN2rofq1e+TfzorN+LBQVO4+1Qs9Gadu1OrPf XXgt/AmelameSMkEOQTVqzriGSB21azTjY/lLXBa553C7fSgNNaEXVaZ xyQ1W/K5OALXzkDLmjcljyEt4GLfcA+M3VsQyuWI4tJOng184rGuVvJO RuI=
dns2.registrar-servers.com. 172800 IN A 216.87.152.33
dns1.registrar-servers.com. 172800 IN A 216.87.155.33
dns3.registrar-servers.com. 172800 IN A 216.87.155.33
dns4.registrar-servers.com. 172800 IN A 216.87.152.33
dns5.registrar-servers.com. 172800 IN A 216.87.155.33
;; Received 435 bytes from 192.41.162.30#53(l.gtld-servers.net) in 30 ms
Antes de prosseguirmos, precisamos verificar se a assinatura é válida ou não. DNSViz é uma ferramenta freqüentemente usada para este propósito, e confirma que existem problemas . O vermelho com raiva na imagem está sugerindo que você tem um problema, mas em vez de passar o mouse sobre tudo, basta expandir Avisos na barra lateral esquerda:
RRSIG strugee.net/A alg 8, id 10636: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/DNSKEY alg 8, id 16517: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/DNSKEY alg 8, id 16517: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/MX alg 8, id 10636: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/NS alg 8, id 10636: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/SOA alg 8, id 10636: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
RRSIG strugee.net/TXT alg 8, id 10636: The Signature Expiration field of the RRSIG RR (2016-04-14 00:00:00+00:00) is 2 days in the past.
net to strugee.net: No valid RRSIGs made by a key corresponding to a DS RR were found covering the DNSKEY RRset, resulting in no secure entry point (SEP) into the zone. (216.87.152.33, 216.87.155.33, UDP_0_EDNS0_32768_4096)
O problema é claro: a assinatura na sua zona expirou e as chaves precisam ser atualizadas. A razão pela qual você está vendo resultados inconsistentes é porque nem todos os servidores recursivos têm a validação DNSSEC ativada. Aqueles que validam estão descartando seu domínio, e para aqueles que não o fazem, como de costume.
Editar: A infra-estrutura de DNS da Comcast é conhecida por implementar a validação do DNSSEC e, como um de seus clientes, posso confirmar que estou vendo um SERVFAIL
também.
$ dig @75.75.75.75 strugee.net | grep status
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 2011