Dlaczego serwer DNS nie może rozwiązać żadnej domeny z rozszerzeniem .io?

10

Mam dwa kontrolery domeny z systemem Windows.

10.10.10.10 Główny (wygrana 2008 r2)
10.10.10.20 Replika (wygrana 2012 r2)

Drugi jest skonfigurowany jako replika pierwszego.

Mniej więcej raz w tygodniu główny kontroler domeny negatywnie buforuje większość .io domen. Dzięki temu nikt w firmie nie ma dostępu do stron takich jak:

chef.io
packer.io
yahoo.io
github.io

O dziwo nadal mogę uzyskać dostęp do niektórych stron .io, takich jak te na github.io

spuder.github.io/

Rozwiązaniem jest RDP na serwerze DNS i uruchomienie dnscmd /clearcache. To rozwiązuje problem przez 7 do 10 dni.

Dalsze objawy

  • Wpływa tylko na główny kontroler domeny (pomocniczy i inne kontrolery domeny mogą dobrze rozwiązać te witryny)
  • działają również serwery google dns
  • Zwykle dzieje się to około 11 rano w środy.

Nie znam się dobrze na Windowsie, ale oto rzeczy, których próbowałem

  • Spójrz na dzienniki, widzę tylko następujące linie, które wyglądają interesująco

8:15AM
The DNS server wrote version 4638 of zone 254.10.in-addr.arpa to file 254.10.in-addr.arpa.dns..in-addr.arpa to file 254.10.in-addr.arpa.dns.

8:16AM
A more recent version, version 4639 of zone 254.10.in-addr.arpa was found at the DNS server at 10.254.40.51. Zone transfer is in progress.ic replication between domain controllers in a common domain or forest. By installing multiple domain controllers in a domain running DNS Server, you can ensure that DNS will continue to work when a domain co
  • Sprawdź, czy dla domeny .io nie ma żadnych stref wyszukiwania do przodu ani do tyłu
  • Upewnij się, że w pliku hosts nic nie blokuje domeny .io
  • Porównaj dane wyjściowe ipconfig /displaydnswszystkich kontrolerów domeny

Czy jest coś jeszcze, co mogę zbadać, aby dowiedzieć się, dlaczego pamięć podręczna DNS wciąż ulega tak przewidywalnemu uszkodzeniu? Czy istnieje ustawienie Windows dns, które może wymuszać opróżnianie pamięci podręcznej podczas wykonywania transera strefy

Aktualizacja
Zawęziłem to do faktu, że często przełączam się z przewodowego na bezprzewodowy tuż przed środowym spotkaniem. Sieć bezprzewodowa ma 1 serwer DNS systemu Windows 2008 i 1 serwer DNS systemu Windows 2012. Gdy serwer 2008 zostanie wybrany jako podstawowy, problem powraca. Obejściem jest uruchomienie tego dnscmd /clearcache. Ponieważ serwer z 2008 roku odchodzi, jestem pewien, że problem sam się rozwiąże.

spuder
źródło
To okropnie specyficzne. To tak, jakby dane serwera nazw dla ioTLD ulegały zapchaniu, lub urządzenie sieciowe upstream, które nie jest współużytkowane z dodatkowym DC, przechodzi szaleństwo z powodu zasad głębokiej inspekcji pakietów. Upewnij się, że nie ma stref na pierwotnym kontrolerze domeny, które mogłyby zakłócać serwery nazw dla tego TLD. ( ., io, net, ac, uk, co.uk, ns13.net, nic.io, nic.ac, icb.co.uk, communitydns.net) Brzmi głupio, ale ludzie czasem robią rzeczy bardzo braindead podczas próby wykorzystania ich DC jako rozwiązanie firewallem.I DNS.
Andrew B,
Inną rzeczą do zrobienia jest sprawdzenie, w jaki sposób twoje serwery DNS wykonują wyszukiwania nielokalne. Dla każdego serwera DNS sprawdź ustawienia Forwarders i Root Hints. Jeśli jeden używa filtrowanego usługi przesyłania dalej, a drugi nie, to może być Twój problem. Alternatywnie, jeśli masz tylko jedną usługę przesyłania dalej i niekompletny zestaw wskazówek dotyczących roota, możesz mieć problemy z wyszukiwaniem.
Mark
1
Co jeszcze dzieje się w twoim systemie w środy o godzinie 11 rano, co może spowodować, że serwer nie będzie mógł wyszukać tych domen (i buforować błąd)?
Calle Dybedahl
więc problem dotyczy klienta, niektóre domeny * .io nie zostały w ogóle rozwiązane, dopóki nie wyczyścisz pamięci podręcznej? Jeśli korzystasz z konsoli DNS, czy GUI konsoli wyświetla prawidłowe adresy IP dla tych nazw w pamięci podręcznej?
strongline,
Czy Twój serwer DNS jest skonfigurowany do korzystania z usług przesyłania dalej?
Mike Marseglia,

Odpowiedzi:

1

Rozważ aktualizację pliku root.hints. Może to wskazuje na niektóre stare serwery nazw root, które (z jakiegoś powodu) nie zwracają domen .io.

Być może masz problem z routingiem, który uniemożliwia dostęp do nich (np. Ukrywasz zakres adresów IP, na których działają), co uniemożliwia wyszukiwanie domen w nim zawartych. To jest mój zakład - może masz regułę zapory ogniowej przeciwko blokowi kraju lub adresu IP. Skorzystaj z moich wyników poniżej, aby sprawdzić zaporę ogniową lub przeszukać / nslookup dla serwerów TLD .io (możesz pobrać plik binarny dla systemu Windows ze strony http://www.isc.org/downloads/

# dig +trace +identify git.io
...
io.                     172800  IN      NS      b0.nic.io.
io.                     172800  IN      NS      a0.nic.io.
io.                     172800  IN      NS      a2.nic.io.
io.                     172800  IN      NS      ns-a1.io.
io.                     172800  IN      NS      ns-a3.io.
io.                     172800  IN      NS      c0.nic.io.
...

Czy możesz uzyskać bezpośredni dostęp do wszystkich tych serwerów DNS? Twój serwer DNS może na przykład wielokrotnie używać pierwszego z listy. Należy pamiętać, że ta lista jest w momencie (obecnie) i zmienia się, ale powinna dać ci punkt początkowy, aby sprawdzić, czy możesz uzyskać dostęp do głównych serwerów nazw .io.

# for i in b0.nic.io a0.nic.io a2.nic.io ns-a1.io ns-a3.io c0.nic.io; do host $i; done
b0.nic.io has address 65.22.161.17
b0.nic.io has IPv6 address 2a01:8840:9f::17
a0.nic.io has address 65.22.160.17
a0.nic.io has IPv6 address 2a01:8840:9e::17
a2.nic.io has address 65.22.163.17
a2.nic.io has IPv6 address 2a01:8840:a1::17
ns-a1.io has address 194.0.1.1
ns-a1.io has IPv6 address 2001:678:4::1
ns-a3.io has address 74.116.178.1
c0.nic.io has address 65.22.162.17
c0.nic.io has IPv6 address 2a01:8840:a0::17

Jeśli używasz usług przesyłania dalej, przetestuj nslookup bezpośrednio do tych usług przesyłania dalej. Jeśli nie zwróci, skontaktuj się z osobą, która je prowadzi (swoim dostawcą usług internetowych).

==== Aktualizacja: Biorąc pod uwagę twoją aktualizację, w której zauważysz, że dzieje się to po zmianie dostawców usług internetowych, zgaduję, że jedno z twoich połączeń używa IPv6, a drugie obsługuje tylko IPv4? Możliwe, że buforuje adres zwrotny IPv6, ale nie jest to osiągalne po zmianie połączeń.

michaelkrieger
źródło