DNS 서버가 .io로 끝나는 도메인을 확인할 수없는 이유는 무엇입니까?


10

두 개의 Windows 도메인 컨트롤러가 있습니다.

10.10.10.10 기본 (2008 년 R2 승리)
10.10.10.20 복제 (2012 년 R2 승리)

두 번째 것은 첫 번째의 복제본으로 구성됩니다.

일주일에 한 번 기본 DC는 대부분의 .io 도메인 을 부정적으로 캐시 합니다. 이를 통해 회사의 어느 누구도 다음과 같은 사이트에 액세스 할 수 없습니다.

chef.io
packer.io
yahoo.io
github.io

이상하게도 github.io와 같은 일부 .io 페이지에 여전히 액세스 할 수 있습니다

spuder.github.io/

해결책은 DNS 서버로 RDP를 실행하여 실행하는 것 dnscmd /clearcache입니다. 7-10 일 동안 문제가 해결됩니다.

추가 증상

  • 기본 도메인 컨트롤러에만 영향을 미칩니다 (보조 도메인 및 다른 도메인 컨트롤러는 이러한 사이트를 올바르게 해결할 수 있음)
  • 구글 DNS 서버도 작동
  • 보통 수요일 오전 11시에 발생합니다.

나는 창문에 익숙하지 않지만 여기에 내가 시도한 것들이 있습니다.

  • 로그를 보면, 다음과 같은 흥미로운 줄만 보입니다.

8:15AM
The DNS server wrote version 4638 of zone 254.10.in-addr.arpa to file 254.10.in-addr.arpa.dns..in-addr.arpa to file 254.10.in-addr.arpa.dns.

8:16AM
A more recent version, version 4639 of zone 254.10.in-addr.arpa was found at the DNS server at 10.254.40.51. Zone transfer is in progress.ic replication between domain controllers in a common domain or forest. By installing multiple domain controllers in a domain running DNS Server, you can ensure that DNS will continue to work when a domain co
  • .io 도메인에 대한 정방향 또는 역방향 조회 영역이 없는지 확인
  • 호스트 파일에 .io 도메인을 차단하는 것이 없는지 확인하십시오.
  • ipconfig /displaydns모든 도메인 컨트롤러 의 출력 비교

dns 캐시가 왜 그렇게 예측 가능한 손상을 일으키는 지 알아볼 수있는 다른 방법이 있습니까? 영역 전송기를 수행 할 때 캐시를 강제로 플러시 할 수있는 Windows DNS 설정이 있습니까?

업데이트
수요일 회의 직전에 유선에서 무선으로 자주 전환한다는 사실 로이 범위를 좁혔습니다. 무선에는 1 개의 Windows 2008 DNS 서버와 1 개의 Windows 2012 DNS 서버가 있습니다. 2008 서버가 기본 서버로 선택되면 문제가 발생합니다. 해결 방법은 이것을 실행하는 것 dnscmd /clearcache입니다. 2008 서버가 사라 지므로이 문제가 저절로 해결 될 것입니다.


엄청 구체적입니다. ioTLD 의 네임 서버 데이터 가 혼잡 해 지거나 2 차 DC와 공유되지 않는 업스트림 네트워크 장치가 심층적 인 패킷 검사 정책으로 인해 엉망이되는 것과 같습니다. 1 차 DC에 해당 TLD의 업스트림 이름 서버를 방해 할 수있는 영역이 없는지 확인하십시오. ( ., io, net, ac, uk, co.uk, ns13.net, nic.io, nic.ac, icb.co.uk, communitydns.net) 사운드는 바보지만, DNS의 방화벽 솔루션으로 자신의 DC를 사용하려고 할 때 사람들은 때때로 매우 뇌사 일을.
앤드류 B

또 다른 방법은 DNS 서버가 로컬이 아닌 조회를 수행하는 방법을 확인하는 것입니다. 각 DNS 서버에 대해 전달자 및 루트 힌트 설정을 확인하십시오. 하나는 필터링 된 전달자를 사용하고 다른 하나는 그렇지 않은 경우 문제가 될 수 있습니다. 또는 전달자 및 불완전한 루트 힌트 집합이 하나만 있으면 해당 문제를 찾아 볼 수 있습니다.
Mark

1
수요일 오전 11시에 시스템의 다른 작업으로 인해 서버가 해당 도메인을 찾지 못하고 실패를 캐시 할 수 있습니까?
Calle Dybedahl

따라서 문제는 클라이언트에 있으며 캐시를 지울 때까지 일부 * .io 도메인이 전혀 해결되지 않습니까? DNS 콘솔로 이동하면 콘솔 GUI가 캐시에 해당 이름에 대한 올바른 IP를 표시합니까?
strongline

DNS 서버가 전달자를 사용하도록 구성되어 있습니까?
Mike Marseglia

답변:


1

root.hints 파일을 업데이트하십시오. 어쩌면 .io 도메인을 반환하지 않는 오래된 루트 이름 서버를 가리키는 것일 수 있습니다.

어쩌면 라우팅 문제로 인해 액세스를 막을 수 있습니다 (즉, 실행중인 IP 범위를 블랙홀 링하고 있음) . 내 도메인을 조회하지 못하게합니다. 이것은 내 국가입니다-아마도 국가 또는 IP 차단에 대한 방화벽 규칙이있을 것입니다. 아래 결과를 사용하여 방화벽을 확인하거나 .io TLD 서버에 대한 dig / nslookup을 수행하십시오 ( http://www.isc.org/downloads/ 에서 Windows 용 바이너리를 다운로드 할 수 있음) .

# dig +trace +identify git.io
...
io.                     172800  IN      NS      b0.nic.io.
io.                     172800  IN      NS      a0.nic.io.
io.                     172800  IN      NS      a2.nic.io.
io.                     172800  IN      NS      ns-a1.io.
io.                     172800  IN      NS      ns-a3.io.
io.                     172800  IN      NS      c0.nic.io.
...

이러한 모든 DNS 서버에 직접 연결할 수 있습니까? 예를 들어 DNS 서버가 목록에서 첫 번째를 반복해서 사용할 수 있습니다. 이 목록은 특정 시점 (현재) 및 변경되었지만 .io 루트 이름 서버에 도달 할 수 있는지 확인하기위한 초기 지점을 제공해야합니다.

# for i in b0.nic.io a0.nic.io a2.nic.io ns-a1.io ns-a3.io c0.nic.io; do host $i; done
b0.nic.io has address 65.22.161.17
b0.nic.io has IPv6 address 2a01:8840:9f::17
a0.nic.io has address 65.22.160.17
a0.nic.io has IPv6 address 2a01:8840:9e::17
a2.nic.io has address 65.22.163.17
a2.nic.io has IPv6 address 2a01:8840:a1::17
ns-a1.io has address 194.0.1.1
ns-a1.io has IPv6 address 2001:678:4::1
ns-a3.io has address 74.116.178.1
c0.nic.io has address 65.22.162.17
c0.nic.io has IPv6 address 2a01:8840:a0::17

전달자를 사용하는 경우 해당 전달자에 대한 nslookup을 직접 테스트하십시오. 반품되지 않으면 해당 담당자 (ISP)에게 문의하십시오.

==== 업데이트 : ISP를 변경할 때 발생하는 업데이트를 고려할 때 연결 중 하나가 IPv6을 사용하고 있고 다른 하나는 IPv4 만 가능합니까? IPv6 반송 주소를 캐시하는 것일 수 있지만 연결을 전환 한 후에는 연결할 수 없습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.