înregistrare Logare
Puncte:0
avatar Server

problemă ciudată de rezolvare a DNS

drapel cn
Slav

Am o problemă foarte ciudată de rezolvare a domeniului / DNS. Domeniul meu este spidersoft.com.au - este înregistrat prin AWS - serverele DNS sunt, de asemenea, găzduite pe AWS.

Nu este un domeniu nou - îl folosesc de câțiva ani, dar recent am avut câteva probleme cu rezolvarea numelui de domeniu.

cand fac dig spidersoft.com.au pe baza furnizorului meu de internet sau VPN, pot obține un răspuns corect, cumpăr că niciunul dintre jucătorii mari nu îmi dă rezultate corecte. dig spidersoft.com.au @1.1.1.1 sau dig spidersoft.com.au @8.8.8.8

https://cachecheck.opendns.com îmi dă SERVFAIL?

M-ar putea picta cineva în direcția corectă? Unde este problema?

38
1 + 1
Patrick Mevzek avatar
drapel cn
Patrick Mevzek
Problema este clară pe https://dnsviz.net/d/spidersoft.com.au/YSS2uA/dnssec/ (de cele mai multe ori când DNSViz afișează ROȘU, înseamnă că configurația dvs. DNS este defectă cumva). DNSSEC este defect pe domeniul dvs. Aveți 3 DS, dar nu există înregistrări DNSKEY care se potrivesc în zona dvs. Fie ați schimbat cheia și ați uitat să actualizați DS, fie pur și simplu nu ați încărcat DS-ul corect în registru. Luați legătura cu furnizorul dvs. de DNS pentru ajutor la rezolvarea problemelor și cu registratorul prin care încărcați cheile DS. S-ar putea să trebuiască mai întâi să vă întoarceți la niciun DNSSEC, apoi să remediați.
0
Răspunde
Puncte:1
avatar Server
drapel cn
Håkan Lindqvist

Delegația precizează că zona se presupune a fi semnată, după cum:

spidersoft.com.au. 900 IN DS 53542 8 1 410D8843D8EE59CC30F788EC2581BDDE09CF3BD9
spidersoft.com.au. 900 IN DS 2371 13 2 15D49FF575EAE3467EE343069296BC78B942F5A8806160893DED476E CB9E8B75
spidersoft.com.au. 900 IN DS 10717 8 1 EFD0A37F5128E60444AEA34C2974309B607488B3

E puțin ciudat cu aceste multiple DS înregistrări pentru diferite chei, dar ignorând asta...

$ dig @ns-1851.awsdns-39.co.uk spidersoft.com.au DNSKEY +dnssec +norec

; <<>> DiG 9.11.5-P4-5.1+deb10u5-Debian <<>> @ns-1851.awsdns-39.co.uk spidersoft.com.au DNSKEY +dnssec +norec
; (2 servere găsite)
;; opțiuni globale: +cmd
;; Am răspuns:
;; ->>HEADER<<- opcode: QUERY, stare: NOERROR, id: 49231
;; steaguri: qr aa ad; ÎNTREBARE: 1, RĂSPUNS: 0, AUTORITATE: 1, SUPLIMENTARE: 1

;; PSEUDOSECȚIE OPT:
; EDNS: versiunea: 0, steaguri: do; udp: 4096
;; SECȚIUNEA DE ÎNTREBĂRI:
;spidersoft.com.au. ÎN DNSKEY

;; SECȚIUNEA AUTORITATE:
spidersoft.com.au. 900 IN SOA ns-1851.awsdns-39.co.uk. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400

;; Timp de interogare: 22 ms
;; SERVER: 2600:9000:5307:3b00::1#53(2600:9000:5307:3b00::1)
;; CÂND: marți, 24 august, 10:08:48 CEST 2021
;; MSG SIZE rcvd: 133

$

...nu există chei deloc.

Trebuie fie să semnați zona și să publicați zona corespunzătoare DS sau eliminați DS dacă zona este de fapt destinată a fi nesemnată. The DS înregistrările sunt gestionate prin registratorul dvs. (dacă totul este cu Route53, aceasta înseamnă efectiv „partea de înregistrare a domeniului a interfeței”, spre deosebire de „partea de găzduire DNS a interfeței”).

Vezi Documentația Route53 pentru specificul semnării unei zone găzduite cu serviciul lor.

0 + 9
drapel cn
Slav
„Nu puteți adăuga chei la acest domeniu, deoarece Route 53 nu acceptă DNSSEC pentru TLD-ul .com.au.” cum să eliminați înregistrările părinte DS? Am mutat domeniul de la alt registrator - așa că poate au lăsat niște pesmeturi care îmi încurcă domeniul?
0
Răspunde
drapel cn
Håkan Lindqvist
@Slav Este foarte probabil ceva lăsat în urmă de înainte. Dacă nu există nicio opțiune de gestionare a `DS` pentru domeniul dvs. înregistrat în interfața Route53, cred că va trebui să contactați asistența AWS.
0
Răspunde
drapel cn
Håkan Lindqvist
@Slav (Sau ca o soluție foarte dezordonată, transferați domeniul unui registrator care vă va permite să gestionați `DS`)
0
Răspunde
Patrick Mevzek avatar
drapel cn
Patrick Mevzek
„Este puțin ciudat cu aceste înregistrări DS multiple pentru diferite chei, dar fără a ține cont de asta...” Se întâmplă de obicei, pentru algoritmi de digest multiple sau rotații de taste
0
Răspunde
drapel cn
Håkan Lindqvist
@PatrickMevzek Ce mi se pare puțin ciudat este să ai înregistrări `DS` pentru trei chei diferite, așa cum se arată mai sus. Dar poate că ar trebui să reformulez dacă ceea ce am scris spune „nu ar trebui să existe niciodată mai multe `DS`”.
0
Răspunde
Patrick Mevzek avatar
drapel cn
Patrick Mevzek
Încă nu sunt sigur că ai înțeles propoziția, îmi pare rău. Uită-te la `icann.org`, există și 3 DS (pentru 2 chei plus una nepublicată pentru practica „standard” a cheii de rezervă)
0
Răspunde
drapel cn
Håkan Lindqvist
@PatrickMevzek Pentru a fi clar, nu spun că te înșeli. Propoziția reflectă mai degrabă impresia mea că pare probabil că este mizerie rezultată din neadministrarea înregistrărilor `DS`, când există două chei ale algoritmului 8 (algoritmul de digest 1), o cheie a algoritmului 13 (algoritmul de digest 2) și într-un context în care lipsesc și toate cheile reale. Desigur, s-ar putea ca totul să fi fost făcut conform planului și fie o rotație simultană a tastelor și o schimbare a algoritmului, fie politici inconsecvente pentru cheile de rezervă sau altele (și o politică inconsecventă pentru utilizarea algoritmului de digerare).
0
Răspunde
Patrick Mevzek avatar
drapel cn
Patrick Mevzek
Nici nu spun că greșești :-) Aici, în mod clar, există o configurare greșită a DNSSEC, așa că 3 DS arată greșit, dar am vrut să mă asigur că cititorii care se pot împiedica de asta nu trag concluzia că 3 DS este întotdeauna și evident gresit. Aici este greșit pentru că nu este asociat DNSKEY, dar în alte situații, dacă configurația este corectă, a avea 3 DS poate fi un caz complet legitim (permanent sau temporar).
0
Răspunde
drapel cn
Slav
În general, problema a fost legată de mutarea registratorilor - m-am mutat de la un registrator „local” la AWS. Registratorul „local” nu a curățat înregistrările DNSEC și AWS nu permite configurarea DNSSEC cu extensii .com.au. În prezent, am revenit la registratorul „local” - am eliminat DNSSEC deloc și totul funcționează conform așteptărilor. Trebuia doar să fiu indicator în direcția corectă.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.