nameservers não concordam com o serial SOA

3

Eu tenho dois domínios apontando para o mesmo endereço IP com registros A. Os dois domínios usam os mesmos dois servidores de nomes e, mesmo assim, estou tendo muitos problemas de conexão com muitos, mas não todos clientes que acessam o site. O IntoDNS informa que os servidores de nomes não concordam com um serial SOA, mas isso só acontece em um dos domínios.

Então, alguns testes posteriores descobri que os servidores DNS públicos do Google nem sequer respondem ao ping do domínio que não funciona, mas outros servidores DNS públicos também o fazem, e eles também veiculam a página da web. Eu testei 4.2.2.1, 4.2.2.2 e 208.67.222.222, todos os servidores DNS públicos. Ao visitar o site, ele gera um erro:

ERR_NAME_NOT_RESOLVED

Alguém tem alguma ideia do que isso possa significar? Os servidores de nomes serializados falham em um domínio e não no outro, enquanto ambos apontam para o mesmo endereço? E esse DNS do Google não o indexa enquanto outros o fazem?

Acho que passei o limite de tempo de atualização, como tem sido assim há mais de uma semana.

insira resultados do DNS do Google:

; <<>> DiG 9.8.5-P1 <<>> @8.8.8.8 woolland.se
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 44011
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;woolland.se.           IN  A

;; Query time: 97 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sat Sep 14 12:39:15 BST 2013
;; MSG SIZE  rcvd: 29

escava os resultados de 4.2.2.1:

; <<>> DiG 9.8.5-P1 <<>> @4.2.2.1 woolland.se
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62739
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;woolland.se.           IN  A

;; ANSWER SECTION:
woolland.se.        3253    IN  A   91.207.159.238

;; Query time: 46 msec
;; SERVER: 4.2.2.1#53(4.2.2.1)
;; WHEN: Sat Sep 14 12:40:27 BST 2013
;; MSG SIZE  rcvd: 45
    
por Alex 14.09.2013 / 13:41

1 resposta

3

Eu suspeito, sem você mencionar, que os problemas de conexão podem ser causados por problemas de resolução de DNS.

Eu não tenho certeza porque é exatamente isso 8.8.8.8 se comporta da maneira que ele faz ao resolver seu nome, mas você pode encontrar alguns resultados interessantes quando você investiga problemas de DNSSEC.

Primeiro, vamos fazer um rastreio (vou remover muitas coisas por brevidade):

$ dig +trace @8.8.8.8 in a woolland.se
<snip>
woolland.se.            86400   IN      NS      ns1.uniweb.no.
woolland.se.            86400   IN      NS      ns3.uniweb.no.
woolland.se.            3600    IN      DS      47206 8 1 0F680594167E22758CED534A22CC6B0DF7092BB9
woolland.se.            3600    IN      DS      47206 8 2 ED352517E9D3A24071F3E5183E2A0EC200A28E328089E1C9659A382B D5FBC616
woolland.se.            3600    IN      RRSIG   DS 5 2 3600 20130924164158 20130911081201 6388 se. accBgRdJlBn18VVNysPhBmmVBsMeiLC58cMg9kVYUTYqg4iLtPmPKH/X FD6HqR8rWFzXvUIMs11SHl2ImJL9MOC0ggWMz4Lc/CcrfYveHEolJ9BX 9b5tImUlJrp6t7A4+U9oW354aJDfhdd8cEJmUNDZUq1LbmfoGolF588g Y9g=
;; Received 331 bytes from 2001:67c:254c:301::53#53(2001:67c:254c:301::53) in 214 ms

woolland.se.            3600    IN      A       91.207.159.238
;; Received 45 bytes from 109.247.131.38#53(109.247.131.38) in 190 ms

Você pode perceber que, no final da recursão, não recebemos um RRSIG para sua zona. No entanto, acontece que recebemos um registro do DS (delegação de assinatura) dos servidores .se TLD:

$ dig @j.ns.se in ds woolland.se
<snip>
;; QUESTION SECTION:
;woolland.se.                   IN      DS

;; ANSWER SECTION:
woolland.se.            3600    IN      DS      47206 8 1 0F680594167E22758CED534A22CC6B0DF7092BB9
woolland.se.            3600    IN      DS      47206 8 2 ED352517E9D3A24071F3E5183E2A0EC200A28E328089E1C9659A382B D5FBC616

A presença do registro do DS indica que sua zona está assinada, mas não está.

O que você deve fazer é obter o registro do DS da raiz .se de alguma forma ou atualizá-lo e configurar o DNSSEC no seu domínio.

Os servidores DNS da Level3 não estão (ainda?) totalmente configurados para fazer o DNSSEC; Você pode perceber que, mesmo que você configure o AD e desmarque o CD nas suas consultas, você nunca receberá uma resposta com o sinalizador AD de volta. Da mesma forma, o servidor DNS do google 8.8.8.8 oferece suporte total ao DNSSEC e, portanto, as consultas para o seu domínio com o sinalizador de CD definido fornecerão seu endereço (este sinalizador significa "verificação desabilitada"):

$ dig @8.8.8.8 +cdflag in a woolland.se

; <<>> DiG 9.9.2-P2 <<>> @8.8.8.8 +cdflag in a woolland.se
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53877
;; flags: qr rd ra cd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;woolland.se.                   IN      A

;; ANSWER SECTION:
woolland.se.            3471    IN      A       91.207.159.238

;; Query time: 46 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sat Sep 14 08:02:31 2013
;; MSG SIZE  rcvd: 56

O serial diferente não tem nada a ver com isso, embora indique que seus dois servidores DNS podem estar fora de sincronia. Verifique se eles estão sendo replicados corretamente. se a série no mestre for menor que a do escravo, aumente a do mestre até um valor maior do que ambos.

    
por 14.09.2013 / 14:37