Tham gia Đăng nhập
Điểm:0
avatar Server

Các vấn đề với việc giải quyết vùng DNS đảo ngược của chúng tôi

lá cờ id
Marki555

Vài ngày trước, chúng tôi nhận thấy một số email gửi đi của chúng tôi bị trì hoãn do máy chủ thư từ xa không thể giải quyết IP của chúng tôi (ví dụ: Máy chủ của khách hàng bị từ chối: không thể tìm thấy tên máy chủ của bạn, [92.240.244.176]). Gần đây, chúng tôi không thực hiện bất kỳ thay đổi nào đối với DNS của mình và ISP của chúng tôi cũng cho biết họ không đụng đến nó.

Chúng tôi đã ủy quyền 92.240.244.128/25 từ ns1/ns2.lightstorm.sk của họ cho ns1/n2.mojhosting.sk của chúng tôi (ns1 của chúng tôi đang chạy BIND 9.10, ns2 đang chạy PowerDNS 4.0).

Họ cho rằng lỗi thuộc về phía chúng tôi vì máy chủ DNS của chúng tôi trả về REFUSED đối với truy vấn này máy chủ 92.240.244.202 ns1.mojhosting.sk, nhưng điều này phải như thế này trong một thời gian dài. Có lẽ đó là vì lệnh đó truy vấn cho 202.244.240.92.in-addr.arpa., chỉ là CNAME trên DNS ISP của chúng tôi, nhưng không tồn tại bên trong ủy quyền của chúng tôi 128/25.244.240.92.in-addr.arpa. cây con)? Đang chạy đào +dấu vết vì cả hai bản ghi dường như luôn hoạt động với tôi.

hộp công cụ MX nói: Cảnh báo: Đã nhận được Câu trả lời không có thẩm quyền (khập khiễng) từ: 'ns1.lightstorm.sk', nhưng tôi không biết làm thế nào để kiểm tra nó. Trình kiểm tra lan truyền DNS toàn cầu cho thấy IP của chúng tôi không thể giải quyết được từ phần lớn các địa điểm.

Ngoài ra, ISP của chúng tôi có kết nối IPv6 khá kém và tôi thấy ns1/ns2 của họ cũng có địa chỉ IPv6, điều này có thể gây thêm sự cố không?

134
0 + 0
Patrick Mevzek avatar
lá cờ cn
Patrick Mevzek
Xem https://dnsviz.net/d/202.244.240.92.in-addr.arpa/dnssec/ Bạn thực sự có một cấu hình sai trong một số ủy quyền do đó bạn thấy câu trả lời khập khiễng.
0
Hồi đáp
lá cờ id
Marki555
Vì vậy, vấn đề dường như nằm giữa 92.in-addr.arpa và 244.240.92.in-addr.arpa.? Vì vậy, họ nói qua DNSSEC rằng 244.240.92.in-addr.arpa. không tồn tại, nhưng không có DNSSEC (ít nhất là thông qua `dig`), nó vẫn hoạt động?
0
Hồi đáp
lá cờ id
Marki555
@PatrickMevzek ok, sau khi ngủ, đối với tôi, dường như NSEC chỉ ở đó vì ns1.lightstorm.sk không sử dụng DNSSEC và điều đó không ngăn cản độ phân giải (và chỉ được đánh dấu là Cảnh báo trong dnsviz). Vấn đề thực sự là chúng trả về phản hồi mà không có cờ AA (được đánh dấu là Lỗi trong dnsviz), đúng không?
0
Hồi đáp
Patrick Mevzek avatar
lá cờ cn
Patrick Mevzek
Đúng, trên thực tế không có gì liên quan đến DNSSEC ở đây. Xem câu trả lời dài hơn của tôi.
0
Hồi đáp
Điểm:1
Patrick Mevzek avatar Server
lá cờ cn
Patrick Mevzek

Cấu hình DNS của bạn "hoạt động" bằng cách nào đó nhưng nó không hoàn toàn chính xác, do đó có thể gây ra sự cố trong một số trường hợp.

Đây là lý do tại sao.

Nếu bạn truy vấn trực tiếp, bạn sẽ nhận được câu trả lời:

$ đào -x 92.240.244.176 +noall +ans +nottlunits
176.244.240.92.in-addr.arpa. 3590 TRONG CNAME 176.128/25.244.240.92.in-addr.arpa.
176.128/25.244.240.92.in-addr.arpa. 43191 TRONG PTR hóa đơn3.hostio.sk.

Vì vậy, chúng tôi đã có trận chung kết PTR ghi lại và chúng ta nên được hạnh phúc.

Tuy nhiên, nếu chúng tôi chẩn đoán tất cả các đường dẫn từ . (gốc) cho đến khi 176.244.240.92.in-addr.arpa. chúng ta có thể thấy một vấn đề.

DNSViz tại https://dnsviz.net/d/202.244.240.92.in-addr.arpa/YYzr-A/dnssec/ hiển thị nó, nếu bạn nhìn vào phần Lỗi:

202.244.240.92.in-addr.arpa/CNAME: Cờ Câu trả lời có thẩm quyền (AA) không được đặt trong phản hồi. (92.240.232.232, 92.240.232.242, 2a00:10d8:11::1:0:1, 2a00:10d8:11::2:0:1, UDP_-_EDNS0_4096_D_KN)

Bạn có thể thấy điều tương tự bằng cách sử dụng đào +dấu vết 202.244.240.92.in-addr.arpa. PTR +nottlunits +nodnssec đưa ra những điều dưới đây (cắt bớt các bước đầu tiên ở gốc và 2 miền):

[..]

92.in-addr.arpa. 86400 TRONG NS ns3.afrinic.net.
92.in-addr.arpa. 86400 TRONG NS pri.authdns.ripe.net.
92.in-addr.arpa. 86400 TRONG NS ns3.lacnic.net.
92.in-addr.arpa. 86400 TRONG NS ns4.apnic.net.
92.in-addr.arpa. 86400 TRONG NS rirns.arin.net.
;; Đã nhận 245 byte từ 200.10.60.53#53(d.in-addr-servers.arpa) trong 199 mili giây

244.240.92.in-addr.arpa. 172800 TRONG NS ns1.lightstorm.sk.
244.240.92.in-addr.arpa. 172800 TRONG NS ns2.lightstorm.sk.
;; Đã nhận 133 byte từ 199.253.249.53#53(rirns.arin.net) trong 142 ms

;; hồ sơ lựa chọn dự kiến ​​​​trong phản hồi
202.244.240.92.in-addr.arpa. 3600 TRONG CNAME 202.128/25.244.240.92.in-addr.arpa.
128/25.244.240.92.in-addr.arpa. 3600 TRONG NS ns1.mojhosting.sk.
128/25.244.240.92.in-addr.arpa. 3600 TRONG NS ns2.mojhosting.sk.
;; Đã nhận 119 byte từ 92.240.232.242#53(ns2.lightstorm.sk) trong 173 mili giây

Nhưng câu trả lời cuối cùng có vấn đề, cờ "AA" (Câu trả lời có thẩm quyền) bị thiếu trong đó. Máy chủ tên cuối cùng này (ns1.lightstorm.sk) đang đưa ra một số dữ liệu (các CNAME record) nhưng không nói rằng nó có thẩm quyền về nó, nơi nó nên làm.

Xem câu trả lời này mà không có các chi tiết không cần thiết:

$ đào @ns1.lightstorm.sk. 202.244.240.92.in-addr.arpa. PTR

[..]

;; Có câu trả lời:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32312
;; cờ: qr rd ra; CÂU HỎI: 1, TRẢ LỜI: 1, AUTHORITY: 2, BỔ SUNG: 0

;; PHẦN CÂU HỎI:
;202.244.240.92.in-addr.arpa. TRONG PTR

;; PHẦN TRẢ LỜI:
202.244.240.92.in-addr.arpa.1h TRONG CNAME 202.128/25.244.240.92.in-addr.arpa.

;; PHẦN THẨM QUYỀN:
128/25.244.240.92.in-addr.arpa. 1h TRONG NS ns1.mojhosting.sk.
128/25.244.240.92.in-addr.arpa. 1h TRONG NS ns2.mojhosting.sk.

Lưu ý phần "cờ", nó phải có cờ "AA". Ngoài ra, thực tế là nó có "RA" (Có sẵn đệ quy) dường như cho thấy rằng máy chủ tên này vừa có thẩm quyền vừa có tính đệ quy, điều này thường là một ý tưởng tồi, cả hai dịch vụ phải tách biệt.

Một máy chủ định danh đệ quy sẽ thấy điều đó và từ chối tiếp tục, do đó bạn sẽ gặp phải nhiều lỗi khác nhau. chủ sở hữu của ns1.lightstorm.sk. + ns2 cần sửa cấu hình của nó, vấn đề là ở đó chứ không phải ở đâu khác.

Nếu bạn muốn so sánh, đây là một thiết lập tương tự, nhưng hoạt động cho IP 162.202.233.81.

Lưu ý cách DNSViz không hiển thị bất kỳ lỗi nào: https://dnsviz.net/d/81.233.202.162.in-addr.arpa/YY1_ag/dnssec/

và cả nếu bạn làm lại bước cuối cùng để so sánh với ở trên:

$ đào @ns2.swbell.net. 81.233.202.162.in-addr.arpa. PTR

[..]

;; Có câu trả lời:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24342
;; cờ: qr aa rd; CÂU HỎI: 1, ĐÁP ÁN: 1, TÁC GIẢ: 2, BỔ SUNG: 1
;; CẢNH BÁO: yêu cầu đệ quy nhưng không khả dụng

;; LỰA CHỌN PSEULiều lượng:
; EDNS: phiên bản: 0, cờ:; udp: 4096
;; PHẦN CÂU HỎI:
;81.233.202.162.in-addr.arpa. TRONG PTR

;; PHẦN TRẢ LỜI:
81.233.202.162.in-addr.arpa. 2h TRONG CNAME 81.80/29.233.202.162.in-addr.arpa.

;; PHẦN THẨM QUYỀN:
80/29.233.202.162.in-addr.arpa. 2h VÀO NS ns2.archaxis.net.
80/29.233.202.162.in-addr.arpa. 2h VÀO NS ns1.archaxis.net.

Lưu ý cách phần "cờ" khác nhau.

FWIW kiểu thiết lập này trong cây đảo ngược là kiểu được thiết kế trong RFC 2317 "Ủy quyền IN-ADDR.ARPA không phân loại", sử dụng CNAME để có thể subdelegate các bộ phận của cây.

0 + 0
lá cờ id
Marki555
Ý bạn là chủ sở hữu của `ns1.lightstorm.sk` (ISP của chúng tôi, người ủy quyền cho chúng tôi dải IP của chúng tôi) cần sửa nó? Bởi vì bạn đã viết `ns1.mojhosting.sk`...
0
Hồi đáp
Patrick Mevzek avatar
lá cờ cn
Patrick Mevzek
Vâng, bạn đúng, xin lỗi về điều đó, tôi đã chỉnh sửa. Hơn cả các bài viết của tôi, chỉ cần tin vào đầu ra đào hoặc những gì DNSViz nói, cả hai đều cho biết vấn đề là do máy chủ tại `92.240.232.232` (+ IPv6 + đồng hành của nó), vì vậy đó thực sự là lightstorm.sk.
0
Hồi đáp
lá cờ id
Marki555
ISP của chúng tôi đã khắc phục một số lỗi, hiện tại độ phân giải đã hoạt động (không có lỗi trong nhật ký máy chủ thư), nhưng dnswiz vẫn hiển thị lỗi, vì vậy tôi không chắc điều gì đã thay đổi...
0
Hồi đáp
Patrick Mevzek avatar
lá cờ cn
Patrick Mevzek
URL DNSviz tôi đã cung cấp là "được đánh dấu thời gian", nó hiển thị cấu hình vào một ngày cụ thể, vì vậy nội dung sẽ không bao giờ thay đổi (nó không kích hoạt phân tích mới). Bạn phải chạy chẩn đoán mới để xem cấu hình hiện tại. Tôi vừa làm xong, nó cung cấp URL có dấu thời gian mới sau: https://dnsviz.net/d/202.244.240.92.in-addr.arpa/YZ60tQ/dnssec/ ; tuy nhiên nó vẫn cho thấy vấn đề tương tự. Không biết ISP của bạn đã "sửa" cái gì, nhưng rõ ràng nó không hiển thị. Vì vậy, một lần nữa, tùy thuộc vào nhiều yếu tố bên ngoài khác, độ phân giải có thể hoạt động hoặc không, nhưng cấu hình DNS bị hỏng.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.