Phản hồi ngẫu nhiên từ máy chủ có thẩm quyền DNS có bình thường không

Chúng tôi đang cố gắng thiết lập Cho phép mã hóa cấp chứng chỉ sử dụng người quản lý chứng chỉ và bộ giải dns01. Chúng tôi đang sử dụng Dreamhost với tư cách là nhà cung cấp DNS của chúng tôi và chúng tôi đã tạo thành phần keo kết nối giữa trình quản lý chứng chỉ RFC-2136 và API Dreamhost.

Chúng tôi đang gặp sự cố là mặc dù các bản ghi bắt buộc (TXT) đang được thêm vào nhưng máy chủ DNS có thẩm quyền đang trả lại chúng một cách ngẫu nhiên - với hai yêu cầu lần lượt là một câu trả lời và một câu trả lời khác không trả lại gì. Điều này khiến người quản lý chứng chỉ phải đợi một khoảng thời gian không thể đoán trước cho đến khi may mắn có thể xác nhận sự hiện diện của bản ghi TXT và trong một số trường hợp, việc kiểm tra miền Lets Encrypt không thành công.

Đây có phải là điều được mong đợi từ máy chủ có thẩm quyền DNS không? Hay đó là điều chúng ta nên nêu ra với nhà cung cấp DNS của mình?

Dưới đây là ví dụ về tình huống như vậy (hiện tại miền riêng biệt đã được rút lại). Bạn có thể thấy

đào @ns1.dreamhost.com. _acme-challenge.keycloak.tenant-a.k8s-dev.redacted.redacted. TXT 

; <<>> DiG 9.16.15-Ubuntu <<>> @ns1.dreamhost.com. _acme-challenge.keycloak.tenant-a.k8s-dev.redacted.redacted. TXT
; (Đã tìm thấy 1 máy chủ)
;; tùy chọn chung: + cmd
;; Có câu trả lời:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 38336
;; cờ: qr aa rd; CÂU HỎI: 1, TRẢ LỜI: 0, AUTHORITY: 1, BỔ SUNG: 1
;; CẢNH BÁO: yêu cầu đệ quy nhưng không khả dụng

;; LỰA CHỌN PSEULiều lượng:
; EDNS: phiên bản: 0, cờ:; udp: 1232
;; PHẦN CÂU HỎI:
;_acme-challenge.keycloak.tenant-a.k8s-dev.redacted.redacted. Ở TXT

;; PHẦN THẨM QUYỀN:
biên tập lại. 300 TRONG SOA ns1.dreamhost.com. máy chủ lưu trữ.dreamhost.com. 2022060209 18661 600 1814400 300

;; Thời gian truy vấn: 20 mili giây
;; MÁY CHỦ: 162.159.26.14#53(162.159.26.14)
;; KHI NÀO: czw cze 02 19:40:17 CEST 2022
;; KÍCH THƯỚC MSG rcvd: 152

đào @ns1.dreamhost.com. _acme-challenge.keycloak.tenant-a.k8s-dev.redacted.redacted. TXT 

; <<>> DiG 9.16.15-Ubuntu <<>> @ns1.dreamhost.com. _acme-challenge.keycloak.tenant-a.k8s-dev.redacted.redacted. TXT
; (Đã tìm thấy 1 máy chủ)
;; tùy chọn chung: + cmd
;; Có câu trả lời:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41439
;; cờ: qr aa rd; CÂU HỎI: 1, TRẢ LỜI: 1, AUTHORITY: 0, BỔ SUNG: 1
;; CẢNH BÁO: yêu cầu đệ quy nhưng không khả dụng

;; LỰA CHỌN PSEULiều lượng:
; EDNS: phiên bản: 0, cờ:; udp: 1232
;; PHẦN CÂU HỎI:
;_acme-challenge.keycloak.tenant-a.k8s-dev.redacted.redacted. Ở TXT

;; PHẦN TRẢ LỜI:
_acme-challenge.keycloak.tenant-a.k8s-dev.redacted.redacted. 300 TRONG TXT "Uyr1nHC1CRWQcmOWDvObc4RMd-mNhKaE9bbNZTf3L2k"

;; Thời gian truy vấn: 16 mili giây
;; MÁY CHỦ: 162.159.26.14#53(162.159.26.14)
;; KHI NÀO: czw cze 02 19:40:18 CEST 2022
;; KÍCH THƯỚC MSG rcvd: 144

Bạn có thể thấy

• Dấu thời gian của các câu trả lời gần như giống nhau
• Một phản hồi chứa các bản ghi TXT, một phản hồi khác thì không
• Máy chủ dns tương tự (162.159.26.14 - ns1.dreamhost.com) đang phản hồi và tôi tin rằng đây là máy chủ có thẩm quyền

Máy chủ dns tương tự (162.159.26.14 - ns1.dreamhost.com) đang phản hồi và tôi tin rằng đây là máy chủ có thẩm quyền

Giống như với các máy chủ web, một địa chỉ IP duy nhất có thể ẩn nhiều máy chủ DNS trả lời các yêu cầu của bạn. Ngay cả các truy vấn từ cùng một vị trí cũng có thể được phân phối tới nhiều nút thông qua bộ cân bằng tải hoặc tuyến đa đường. (Đôi khi "ns1" và "ns2" hoàn toàn là để trưng bày, cả hai đều dẫn đến cùng một nhóm máy chủ.)

Có, lý tưởng là tất cả các máy chủ có thẩm quyền trong cụm nên biết chính xác cùng một dữ liệu, nhưng tùy thuộc vào cách chúng được triển khai, cụm có thể có một số máy chủ tạm thời không đồng bộ với cơ sở dữ liệu có thẩm quyền của Dreamhost vì nhiều lý do. Ví dụ (hoàn toàn là giả thuyết – Tôi không biết hệ thống của Dreamhost hoạt động như thế nào), các yêu cầu "tải lại" có thể được lan truyền kịp thời để giảm tải cho cơ sở dữ liệu.

sau khi tôi kiểm tra từ một quốc gia khác (sử dụng VPS trên đám mây), tôi nhận được các mẫu câu trả lời khác nhau

Ở quy mô rộng hơn, khi truy vấn từ các vị trí khác nhau, BGP anycast có thể dẫn bạn đến các cụm hoàn toàn khác nhau. Một ví dụ điển hình là trình phân giải DNS công cộng hoặc máy chủ gốc â có nhiều phiên bản 1.1.1.1 trên khắp thế giới và có nhiều phiên bản "f.root-servers.net".Nếu Dreamhost sử dụng anycast để lưu trữ "ns1" tại nhiều vị trí thực tế (điều mà họ có thể làm để giảm độ trễ), thì nhiều khả năng họ sẽ không đồng bộ hóa trong một khoảng thời gian ngắn sau khi bạn thực hiện thay đổi. (Đó là một lĩnh vực mà "lan truyền DNS" không phải lời nói dối.)

Nhiều máy chủ DNS hỗ trợ đặc biệt tên máy chủ.bind và/hoặc id.server các truy vấn mà họ trả lời bằng tên riêng của họ. Hãy thử điều này từ các địa điểm khác nhau:

đào +ngắn @ns1.dreamhost.com tên máy chủ.bind. hỗn loạn txt

Nhưng nhìn chung, không có điều nào ở trên thực sự thay đổi mọi thứ – vấn đề của bạn không khác nhiều so với việc có các máy chủ thực sự riêng biệt và đồng bộ hóa chúng. Ví dụ: ngay cả khi bạn chỉ có các máy chủ ns1/ns2/ns3 thông thường sử dụng bản sao DNS AXFR truyền thống, bất cứ khi nào dữ liệu mới được tải vào máy chủ chính, có thể mất vài giây để gửi THÔNG BÁO tới các bản sao và để chúng chuyển các thay đổi. Người giải quyết đang xem bản ghi NS của bạn hoàn toàn không biết về điều này và có thể chọn ngẫu nhiên máy chủ đã có dữ liệu mới hoặc máy chủ chưa có.

Vì vậy, bất kể máy chủ DNS của bạn hoạt động như thế nào và nó có bao nhiêu máy chủ, bạn đừng bao giờ mong đợi các bản cập nhật sẽ diễn ra tức thì 100%; tìm hiểu xem nhà cung cấp có công bố thời gian dự kiến ​​hay chỉ chờ 5 hoặc 10 giây tùy ý.