Não é possível resolver o domínio ou ns depois de alterar os registros ns

1

Eu sei que perguntas semelhantes foram feitas, mas nenhuma delas fornece informações relevantes para minha situação

Eu tenho dois servidores com codinomes DF e WP, cada um hospedando vários sites. O DF é configurado com um cluster ns1 - ns4.dekyfinweb.com, enquanto o WP é configurado com alfa, gama e delta.dekyfinweb.com. Os sites em cada servidor usam os servidores de nomes configurados nesse servidor.

Tudo estava funcionando bem até que começamos a migrar o site principal para o dekyfinweb.com do DF para o WP. Alteramos os servidores de nomes do domínio de (ns1-ns4) para (alfa, gama e delta); e o domínio com seus servidores de nomes parou de ser resolvido depois de algumas horas.

Eu usei várias ferramentas de teste de dns on-line, mas não consigo obter informações relevantes sobre a causa do problema

Abaixo estão os resultados de alguns testes que eu corro usando dig

$ dig dekyfinweb.com

; <<>> DiG 9.11.0-P1 <<>> dekyfinweb.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 21431
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;dekyfinweb.com.                        IN      A

;; Query time: 423 msec
;; SERVER: 8.8.4.4#53(8.8.4.4)
;; WHEN: Thu Jun 15 14:39:56 GMT 2017
;; MSG SIZE  rcvd: 43

Resultado da pesquisa contra o servidor de nomes pai para .com

$ dig @g.gtld-servers.net dekyfinweb.com

; <<>> DiG 9.10.3-P4-Ubuntu <<>> @g.gtld-servers.net dekyfinweb.com
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6425
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 3, ADDITIONAL: 4
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;dekyfinweb.com.            IN  A

;; AUTHORITY SECTION:
dekyfinweb.com.     172800  IN  NS  alpha.dekyfinweb.com.
dekyfinweb.com.     172800  IN  NS  gamma.dekyfinweb.com.
dekyfinweb.com.     172800  IN  NS  delta.dekyfinweb.com.

;; ADDITIONAL SECTION:
alpha.dekyfinweb.com.   172800  IN  A   137.74.192.129
gamma.dekyfinweb.com.   172800  IN  A   137.74.192.129
delta.dekyfinweb.com.   172800  IN  A   137.74.192.129

;; Query time: 226 msec
;; SERVER: 192.42.93.30#53(192.42.93.30)
;; WHEN: Thu Jun 15 16:43:47 GMT 2017
;; MSG SIZE  rcvd: 151

gamma e delta na verdade apontam para servidores diferentes, mas eu mudei os registros de cola para 137.74.192.129 porque eles não podem sincronizar com alfa

abaixo é uma pesquisa do servidor de nomes em relação ao IP fornecido na consulta anterior

$ dig @137.74.192.129 alpha.dekyfinweb.com

; <<>> DiG 9.10.3-P4-Ubuntu <<>> @137.74.192.129 alpha.dekyfinweb.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8980
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 3
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;alpha.dekyfinweb.com.      IN  A

;; ANSWER SECTION:
alpha.dekyfinweb.com.   14400   IN  A   137.74.192.129

;; AUTHORITY SECTION:
dekyfinweb.com.     14400   IN  NS  delta.dekyfinweb.com.
dekyfinweb.com.     14400   IN  NS  gamma.dekyfinweb.com.
dekyfinweb.com.     14400   IN  NS  alpha.dekyfinweb.com.

;; ADDITIONAL SECTION:
delta.dekyfinweb.com.   14400   IN  A   149.56.14.198
gamma.dekyfinweb.com.   14400   IN  A   149.56.46.18

;; Query time: 129 msec
;; SERVER: 137.74.192.129#53(137.74.192.129)
;; WHEN: Thu Jun 15 16:48:15 GMT 2017
;; MSG SIZE  rcvd: 151

E, finalmente, uma pesquisa do domínio contra o IP parece estar funcionando bem

$ dig @137.74.192.129 dekyfinweb.com

; <<>> DiG 9.11.0-P1 <<>> @137.74.192.129 dekyfinweb.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9918
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 4
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;dekyfinweb.com.                        IN      A

;; ANSWER SECTION:
dekyfinweb.com.         14400   IN      A       137.74.192.129

;; AUTHORITY SECTION:
dekyfinweb.com.         14400   IN      NS      delta.dekyfinweb.com.
dekyfinweb.com.         14400   IN      NS      gamma.dekyfinweb.com.
dekyfinweb.com.         14400   IN      NS      alpha.dekyfinweb.com.

;; ADDITIONAL SECTION:
alpha.dekyfinweb.com.   14400   IN      A       137.74.192.129
delta.dekyfinweb.com.   14400   IN      A       149.56.14.198
gamma.dekyfinweb.com.   14400   IN      A       149.56.46.18

;; Query time: 793 msec
;; SERVER: 137.74.192.129#53(137.74.192.129)
;; WHEN: Thu Jun 15 14:53:58 GMT 2017
;; MSG SIZE  rcvd: 167
    
por elSama 15.06.2017 / 18:51

3 respostas

0

Seu problema não tem nada a ver com TTLs.

Você tem problemas de DNSSEC, consulte link

Em resumo, a zona de comércio possui um registro do DS para seu domínio, mas você não publica nenhum registro DNSKEY. Portanto, qualquer servidor de nomes recursivo de validação (como o do Google) detectará este caso como um erro de terminal, portanto, o SERVFAIL, porque pode ser um erro de configuração ou um ataque ativo, e ambos os casos não são discerníveis externamente. Você precisa organizar rapidamente esta situação: se você não entender nada sobre o DNSSEC, pare de tentar usá-lo, consulte seu registrador e peça que ele remova o registro do DS da zona .COM; Se você realmente deseja habilitar o DNSSEC em seu domínio (um objetivo nobre e valioso, mas não sem armadilhas), você precisa corrigir sua configuração atual.

Contanto que você permaneça na configuração atual, seu nome de domínio será quebrado para qualquer tipo de validação de servidor de nomes recursivo, a situação nunca será corrigida.

Comparar %código% com %código% (o último caso solicita especificamente que não faça a validação do DNSSEC e, portanto, as coisas funcionarão; a comparação entre esses dois casos mostra que o problema está relacionado ao DNSSEC, bem como à saída do dnsviz acima)

    
por 20.06.2017 / 01:51
0

Espere cerca de 4 horas. (Seu nível superior parece ter um ttl de 4 horas). Parece que o Google acabou de armazenar uma entrada incorreta. Como o dig +trace dekyfinweb.com parece funcionar, espero que as coisas aconteçam quando o ttl expirar.

    
por 15.06.2017 / 19:50
0

(Não é uma resposta, mas não pode comentar ainda)

Estou obtendo um resultado diferente:

; <<>> DiG 9.10.3-P4-Debian <<>> +trace dekyfinweb.com
;; global options: +cmd
.           498957  IN  NS  d.root-servers.net.
.           498957  IN  NS  a.root-servers.net.
.           498957  IN  NS  l.root-servers.net.
.           498957  IN  NS  g.root-servers.net.
.           498957  IN  NS  b.root-servers.net.
.           498957  IN  NS  h.root-servers.net.
.           498957  IN  NS  c.root-servers.net.
.           498957  IN  NS  j.root-servers.net.
.           498957  IN  NS  e.root-servers.net.
.           498957  IN  NS  k.root-servers.net.
.           498957  IN  NS  f.root-servers.net.
.           498957  IN  NS  i.root-servers.net.
.           498957  IN  NS  m.root-servers.net.
;; Received 415 bytes from 10.137.1.1#53(10.137.1.1) in 55 ms

com.            172800  IN  NS  a.gtld-servers.net.
com.            172800  IN  NS  b.gtld-servers.net.
com.            172800  IN  NS  c.gtld-servers.net.
com.            172800  IN  NS  d.gtld-servers.net.
com.            172800  IN  NS  e.gtld-servers.net.
com.            172800  IN  NS  f.gtld-servers.net.
com.            172800  IN  NS  g.gtld-servers.net.
com.            172800  IN  NS  h.gtld-servers.net.
com.            172800  IN  NS  i.gtld-servers.net.
com.            172800  IN  NS  j.gtld-servers.net.
com.            172800  IN  NS  k.gtld-servers.net.
com.            172800  IN  NS  l.gtld-servers.net.
com.            172800  IN  NS  m.gtld-servers.net.
com.            86400   IN  DS  30909 8 2 E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CF C41A5766
com.            86400   IN  RRSIG   DS 8 1 86400 20170628220000 20170615210000 14796 . DGPIZzKyA+uBJAdMEKypVNz14HB/y5KZgCco2TP7BQUlkPv8CLNClNqj 2rEpN4ijCk1zk+oQfmQA5Ee35wbrrcwnGqfrRVRffJqRfu8aSRM5eiEA xEpQus8TaanF0FIkkx2CHQOil15nFRZTMtusOPTyxiwYaD5zxJZS0W1N dwbWVzxIwbL9jaImxVLc113cTl/nnnyKUaziCX6jk1/bOh1CrCjctxkp 2qNJ68b7QCIe11g9lmiBQMP2QGQK3aAP21I+bfNvHeGZ6nUADN+P/TsQ lWsM+YEni9W1LcAtc0DTqhHuzxSd6Y3WmMNPZc6FFnJnHR6CcWY+eh6x 3EUCZQ==
;; Received 866 bytes from 192.203.230.10#53(e.root-servers.net) in 201 ms

dekyfinweb.com.     172800  IN  NS  alpha.dekyfinweb.com.
dekyfinweb.com.     172800  IN  NS  gamma.dekyfinweb.com.
dekyfinweb.com.     172800  IN  NS  delta.dekyfinweb.com.
dekyfinweb.com.     86400   IN  DS  17815 8 2 FE6DDCE11D61B71AECABD8FFD57A58C3A86ACF17F699F210983A1809 13B17AD9
dekyfinweb.com.     86400   IN  RRSIG   DS 8 2 86400 20170622111241 20170615100241 27302 com. RQaEDdTFmYhnLTOpGPsaI+64VkFmoReqD+2uyDrMhWs0jpBUkcSIz10F gdEtep+hG4G1k1FHb9hvaWNrxfwzYiXXmbRaD5HiDdCPP8A8Qznuo0uY LV7A1cl2wq+Ivi20u216eoAieXjf5RJjyK7mdXuB6ssLJ8Z+6L5+ASDk 454=
;; Received 362 bytes from 192.33.14.30#53(b.gtld-servers.net) in 323 ms

dekyfinweb.com.     14400   IN  A   188.165.61.100
dekyfinweb.com.     14400   IN  NS  alpha.dekyfinweb.com.
dekyfinweb.com.     14400   IN  NS  delta.dekyfinweb.com.
dekyfinweb.com.     14400   IN  NS  gamma.dekyfinweb.com.
;; Received 167 bytes from 149.56.14.198#53(delta.dekyfinweb.com) in 206 ms

e nesse IP, apenas a porta 80, uma página "Em manutenção".

    
por 16.06.2017 / 03:44