web-dev-qa-db-ja.com

多くのDNSサーバーがドメインのネームサーバーを正しく返さないのはなぜですか?

私のウェブサイトは広くアクセスできなくなっており、その理由はわかりません。

最近まで、私はcloudflareを介して自分のWebサイトにサービスを提供しており、ネームサーバーも使用していました。最近Route 53を使い始めたので、レジストラのコントロールパネルを使用してAmazonのネームサーバーに変更したところ、サイトがすぐに利用できなくなったことがわかりました(私は英国にいます)。

https://www.whatsmydns.net を使用したところ、世界中の一部のDNSサーバーが自分のWebサイトのnamserverを返さないことがわかりました。ロンドン、サンパウロ、ドイツ、ニュージーランド、米国の一部を含め、私が試すたびに同じ場所でした。ほとんどの場所(約3/4)は問題ありませんでした。

当時、レジストラとしてhover.comを使用していたため、問題が発生しているのではないかと考え、レジストラをAmazonに切り替えました。 Amazonに転送されたら、ネームサーバーをCloudflareのネームサーバーに戻し、それが伝播するのを待って、whatsmydns.netで再度確認しました。すべての場所で緑色で表示されていました。その後、Amazonのネームサーバーに戻りました。問題は以前とまったく同じで、ネームサーバーは同じ場所のDNSクエリによって返されませんでした。

MacラップトップのDNSサーバーを変更しました。次のDNSサーバーを使用すると、自分のWebサイトにアクセスできます。

  • Sky(私のブロードバンドプロバイダー)-90.207.238.97および90.207.238.99
  • OpenDNSホーム-208.67.222.222 208.67.220.220

しかし、次のDNSサーバーを使用すると、私のWebサイトにアクセスできません

  • Google-8.8.8.8および8.8.4.4
  • Cloudflare-1.1.1.1および1.0.0.1
  • Quad9-9.9.9.9および149.112.112.112
  • CleanBrowsing-185.228.168.9および185.228.169.9
  • Adguard-176.103.130.130および176.103.130.131
  • Verisign-64.6.64.6および185.253.163.131

私が使用しようとしているネームサーバーは次のとおりです。

  • ns-1478.awsdns-56.org
  • ns-1953.awsdns-52.co.uk
  • ns-135.awsdns-16.com
  • ns-893.awsdns-47.net

一部の大規模ISPがDNSサーバーを設定して、ルールに違反するように設定しました。たとえば、ネームサーバーの1つが応答しないためにドメイン名が存在しないことを示すなどです。これが発生していて、4つのネームサーバーのいずれかに問題があったかどうかを診断するために、私は昨日、上記のリストの最初の2つのネームサーバーのみを使用するように変更しました。 。ただし、この変更を伝播するには十分な時間がありましたが(編集:TTLが与えられた場合、おそらくそうではありませんが、AmazonとCloudflareの間でネームサーバーを変更したときやその逆の場合よりも明らかに遅いようです)、whatsmydns.netは広大であることを示していますほとんどのDNSサーバーは、4つすべてのネームサーバーをまだ返しています。それがなぜ起こっているのか私にはわかりません。

何が起こっている!私のウェブサイトは https://www.markfisher.photo です。

domain-name-systemnameserverisp
5
Mark Fisher

私は簡単に見て、あなたのゾーンの主な問題は親ゾーン(photo)からの委任がmarkfisher.photoは署名されることになっています(DSレコードが存在します)。

markfisher.photoただし、まったく署名されていません。この結果、検証リゾルバはすべての回答を偽物と見なして破棄します。

私の知る限り、Route53はまだDNSSECをサポートしていません。つまり、そのDNSサービスを使用したい場合は、デリゲートからDSレコードを削除する必要があります(レジストラを通じて行います)。

2つのステップでの問題のデモンストレーション:

$ Dig @ns1.uniregistry.net markfisher.photo +norec +dnssec

; <<>> Dig 9.11.13-RedHat-9.11.13-3.fc31 <<>> @ns1.uniregistry.net markfisher.photo +norec +dnssec
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55361
;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
; COOKIE: 60e53f6e7a4d79f37a0879a75e14e274510b02d97b10da1c (good)
;; QUESTION SECTION:
;markfisher.photo.              IN      A

;; AUTHORITY SECTION:
markfisher.photo.       900     IN      NS      ns-1478.awsdns-56.org.
markfisher.photo.       900     IN      NS      ns-1953.awsdns-52.co.uk.
markfisher.photo.       900     IN      DS      2371 13 2 B1FB8D1E60D7B54027829321A64B612251F95A41C0F10C912FA9FC6A 9EECEEA5
markfisher.photo.       900     IN      RRSIG   DS 5 2 900 20200206185213 20200107185213 21795 photo. AN2TWw41LL15uX55vfNaQlHvidlpngYb629gSlEyP+A3JiS77NHO5TvJ gI5QF4si5/haBEoABpuVU8opxxC0Jmv3aD09NkwjZXoqikxDqwjzO/PD wNlvHKOb25fgb1+gKj3JaGvqtAD8m+m2xotmxRo74xPmb2XOvEsGUS25 Cxc=

;; Query time: 94 msec
;; SERVER: 2620:57:4000:1::1#53(2620:57:4000:1::1)
;; WHEN: Tue Jan 07 19:56:36 UTC 2020
;; MSG SIZE  rcvd: 358

$

DSレコードでの参照。markfisher.photoゾーンは一致するキーで署名されています)

$ Dig @ns-1478.awsdns-56.org markfisher.photo DNSKEY +norec +dnssec

; <<>> Dig 9.11.13-RedHat-9.11.13-3.fc31 <<>> @ns-1478.awsdns-56.org markfisher.photo DNSKEY +norec +dnssec
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54714
;; flags: qr aa; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;markfisher.photo.              IN      DNSKEY

;; AUTHORITY SECTION:
markfisher.photo.       900     IN      SOA     ns-893.awsdns-47.net. awsdns-hostmaster.Amazon.com. 1 7200 900 1209600 86400

;; Query time: 79 msec
;; SERVER: 2600:9000:5305:c600::1#53(2600:9000:5305:c600::1)
;; WHEN: Tue Jan 07 19:58:44 UTC 2020
;; MSG SIZE  rcvd: 129

$

(権限のあるサーバーからの応答。DNSKEYレコードがないこと、および署名がないことを示しています)


DNS委任とDNSSECの正常性の概要については、 Dnsviz をお勧めします。

5
Håkan Lindqvist

答えは非常に簡単です... DNSSEC ;-)

確認しましたところ、ドメインの上位レベル(写真)でDNSSEC署名に使用できる公開鍵があります。これは、DNSSECを有効にすることを意味しますが、変更後のサーバーにはDNSSEC署名がありません(または必要な場合は無効です)。

レコードは技術的には正しいですが、「有効性」のDNSSECチェックに合格していません。結果は無視されます。

あなたは(のいずれか)する必要があります:

  • ゾーンへの署名を開始し、写真の公開鍵を更新します。ドメインレベル
  • 公開鍵を削除する=>ゾーンのDNSSECを無効にする

この情報はmarkfisher.photoにないため、どちらもドメインレジストラーインターフェイスに関連しています。ゾーンですが写真です。 NS使用されるサーバーを含むレコードのように、原則として委任されたゾーン。

$ Dig www.markfisher.photo @9.9.9.9

; <<>> Dig 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> www.markfisher.photo @9.9.9.9
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 38974
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.markfisher.photo.      IN  A

;; Query time: 305 msec
;; SERVER: 9.9.9.9#53(9.9.9.9)
;; WHEN: Út led 07 21:15:44 CET 2020
;; MSG SIZE  rcvd: 49

...そしてDNSSECチェックを無効にして:

$ Dig +cdflag www.markfisher.photo @9.9.9.9

; <<>> Dig 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> +cdflag www.markfisher.photo @9.9.9.9
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26962
;; flags: qr rd ra cd; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.markfisher.photo.      IN  A

;; ANSWER SECTION:
www.markfisher.photo.   298 IN  CNAME   markfisher.photo.
markfisher.photo.   60  IN  A   54.240.168.66
markfisher.photo.   60  IN  A   54.240.168.56
markfisher.photo.   60  IN  A   54.240.168.98
markfisher.photo.   60  IN  A   54.240.168.51

;; Query time: 1770 msec
;; SERVER: 9.9.9.9#53(9.9.9.9)
;; WHEN: Út led 07 21:14:43 CET 2020
;; MSG SIZE  rcvd: 127
1
Kamil J