Route53 не включая клеевые записи - PullRequest
Новая
       11

Route53 не включая клеевые записи

0 голосов
/ 22 июня 2019

У меня есть домен (xanderflood.com), DNS которого управляется по маршруту 53. Я хотел бы делегировать DNS для test.xanderflood.com на сервер, который будет расположен по адресу ns.test.xanderflood.com, поэтому я добавил две записи: 

test.xanderflood.com IN NS ns.test.xanderflood.com
ns.test.xanderflood.com IN A 198.51.100.234

Когда я запускаю dig +trace @75.75.75.75 media.test.xanderflood.com, я получаю 

; <<>> DiG 9.11.3-1ubuntu1.7-Ubuntu <<>> +trace @75.75.75.75 

media.test.xanderflood.com
; (1 server found)
;; global options: +cmd
.           503150  IN  NS  k.root-servers.net.
.           503150  IN  NS  l.root-servers.net.
.           503150  IN  NS  m.root-servers.net.
.           503150  IN  NS  a.root-servers.net.
.           503150  IN  NS  b.root-servers.net.
.           503150  IN  NS  c.root-servers.net.
.           503150  IN  NS  d.root-servers.net.
.           503150  IN  NS  e.root-servers.net.
.           503150  IN  NS  f.root-servers.net.
.           503150  IN  NS  g.root-servers.net.
.           503150  IN  NS  h.root-servers.net.
.           503150  IN  NS  i.root-servers.net.
.           503150  IN  NS  j.root-servers.net.
.           503150  IN  RRSIG   NS 8 0 518400 20190704170000 20190621160000 25266 . D5+HDC+b5kZ625Ac27BUxuBSBTATMWEGyjPXTJIR1WaWkb3uGBhNYV5G CC/aFJtwJZ0M5ki9mWfDMBr2TTr4ij9KViXbr7PDVDLHnqixT864P+8t KmHPL1uYIb94DkJza8gTMcJZoQlFEj+gEl2+qPBRc5oZbl4GkVva+La4 T/64g96mORdS8vZGn9aQSCZnPg8Ckt6sTIaELWLAnI3zTFrosg+zrG8D zVJFmFy55SmleFq6Gzs3BMk1DIs8FqrVjS5PPVVIGsjAMhLMeS0Sclps AFf8kjEMzXoREz4DeNYWgmf2nE3HUXSxd/XR7VAlzJmOUt8Suz0YkDr3 OGS+Ig==
;; Received 1041 bytes from 75.75.75.75#53(75.75.75.75) in 12 ms

com.            172800  IN  NS  m.gtld-servers.net.
com.            172800  IN  NS  i.gtld-servers.net.
com.            172800  IN  NS  e.gtld-servers.net.
com.            172800  IN  NS  f.gtld-servers.net.
com.            172800  IN  NS  l.gtld-servers.net.
com.            172800  IN  NS  d.gtld-servers.net.
com.            172800  IN  NS  k.gtld-servers.net.
com.            172800  IN  NS  a.gtld-servers.net.
com.            172800  IN  NS  j.gtld-servers.net.
com.            172800  IN  NS  b.gtld-servers.net.
com.            172800  IN  NS  h.gtld-servers.net.
com.            172800  IN  NS  g.gtld-servers.net.
com.            172800  IN  NS  c.gtld-servers.net.
com.            86400   IN  DS  30909 8 2 E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CF C41A5766
com.            86400   IN  RRSIG   DS 8 1 86400 20190704170000 20190621160000 25266 . lc916tqVraGg10FCUk6/B5E0xeEbP4c5rnt3bPICTdHmSHgAZ/SpA8MF pIO426+YZ12p/lozYA2nUo6B7lVrjinglyNAnTBrVxYPtiC078gPU1Bq g8gEG6OZHoe/+UdYfvVtblW/ioSExKeyc9/C6KYfzZuD++T05/izeHov iiE+4ViTmaFaDgI+xSpqttRJT/nYRpn1tN9/35MV/rhXDhEGIUdLM98e wscQUzDbfkifK6NKb9Z6Vp689y2N7WV9dJKcDeNqcoRrMrWW9ioWOLqE Kxhv4O6AzL9clubwuzi+ufirwk6euOD8n6q6u51bcRhK8PdgUs2xy2Ms uVcCMQ==
;; Received 1214 bytes from 199.9.14.201#53(b.root-servers.net) in 60 ms

xanderflood.com.    172800  IN  NS  ns-426.awsdns-53.com.
xanderflood.com.    172800  IN  NS  ns-823.awsdns-38.net.
xanderflood.com.    172800  IN  NS  ns-1657.awsdns-15.co.uk.
xanderflood.com.    172800  IN  NS  ns-1471.awsdns-55.org.
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN NSEC3 1 1 0 - CK0Q1GIN43N1ARRC9OSM6QPQR81H5M9A  NS SOA RRSIG DNSKEY NSEC3PARAM
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN RRSIG NSEC3 8 2 86400 20190628044430 20190621033430 3800 com. E0fw9vzA0DqWNYImFXrvmV/qH2cH6hDM5E7X6/pCKrhCZp7Qb6iCkp3u PdwVPv5HIs65MaMNSGA9gXCs4JcXBjUx6cmjKUbUfGX2kQffmFm6dGfA WvtjYvzFfG1o/0SUU5awr6hes1fa/G1RxwVW8a4AAdhZ/cPpFS2RTlar i/0=
50C5NFS5N8S46COAHN2QFK40EQF0U3HS.com. 86400 IN NSEC3 1 1 0 - 50C7M61IFHEGFKLIRHD1569DD1CM9NV5  NS DS RRSIG
50C5NFS5N8S46COAHN2QFK40EQF0U3HS.com. 86400 IN RRSIG NSEC3 8 2 86400 20190626053147 20190619042147 3800 com. eYnghQKgo9br7ORy1m6Ago7kBLi6Hj5yYumps4YQNJs/CMlgLt8yuzhw SGIAyzMuRuCnW8N+rH813tURS/zaR8cOWqxqxG/sj7xDZ++kMveCA7VW MQZq8CCplfYqAMpaNqDf3Qi/21612pfQnRnVe1XNwS99rqv/wt7L/OaE 6Ek=
;; Received 693 bytes from 192.55.83.30#53(m.gtld-servers.net) in 25 ms

test.xanderflood.com.   300 IN  NS  ns.test.xanderflood.com.
^Ccouldn't get address for 'ns.test.xanderflood.com': not found
dig: couldn't get address for 'ns.test.xanderflood.com': no more

На последнем этапе сервер route53, похоже, не отправляет клейкую запись вместе с NS-записью. Но когда я проверяю это конкретно, запустив dig @ns-1471.awsdns-55.org test.test.xanderflood.com, он делает отправку клейкой записи: 

; <<>> DiG 9.11.3-1ubuntu1.7-Ubuntu <<>> @ns-1471.awsdns-55.org test.test.xanderflood.com
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52944
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;test.test.xanderflood.com. IN  A

;; AUTHORITY SECTION:
test.xanderflood.com.   300 IN  NS  ns.test.xanderflood.com.

;; ADDITIONAL SECTION:
ns.test.xanderflood.com. 300    IN  A   198.51.100.234

;; Query time: 26 msec
;; SERVER: 205.251.197.191#53(205.251.197.191)
;; WHEN: Fri Jun 21 18:58:54 EDT 2019
;; MSG SIZE  rcvd: 87

Я попробовал все четыре из перечисленных серверов имен AWS, и все они включали клейкую запись. Точно так же, если я запрашиваю у серверов AWS ns.test.xanderflood.com, я получаю запись A, но когда я использую dig +trace и запрашиваю рекурсивный сервер моего провайдера, он попадает в запись NS и не может идти дальше. Есть идеи?

1 Ответ

1 голос
/ 22 июня 2019

Проблема не с +trace.Поскольку простой запрос имени сервера имен получает ошибку: 

$ dig ns.test.xanderflood.com

; <<>> DiG 9.10.3-P4-Debian <<>> ns.test.xanderflood.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 6793
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.test.xanderflood.com.   IN  A

;; Query time: 4625 msec

Поскольку проблема заключается в том, что этот конкретный сервер имен вообще не отвечает!

Родитель правильно предоставляет клей: 

$ dig @ns-1657.awsdns-15.co.uk. ns.test.xanderflood.com | grep 'IN A '     
ns.test.xanderflood.com. 5m IN A 198.51.100.234

(+short не работает, потому что информация в дополнительном разделе, а не в ответе)

Но тогда: 

$ dig @198.51.100.234 ns.test.xanderflood.com

; <<>> DiG 9.12.0 <<>> @198.51.100.234 ns.test.xanderflood.com
; (1 server found)
;; global options: +cmd
;; Sending:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30129
;; flags: rd ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: f266724ac73b2e54
;; QUESTION SECTION:
;ns.test.xanderflood.com. IN A

;; QUERY SIZE: 64

;; connection timed out; no servers could be reached

(обычное устранение неполадокзатем включается попытка +tcp / +notcp для отладки проблем UDP / TCP и +dnssec/+nodnssec для проблем, связанных с DNSSEC. Никакие опции не изменяют вышеуказанный результат, сервер не отвечает)

Этот сервер не отвечает,dig +trace заканчивается запросом к этому серверу, но не получает ответа, поэтому возникает последняя ошибка.

Как только этот сервер имен начинает отвечать на запросы DNS, ваша проблема исчезнет.

ВыМожно также взглянуть на службу мониторинга: http://dnsviz.net/d/ns.test.xanderflood.com/dnssec/ Всплывающее окно с именем: «От сервера не было получено ответа по UDP (попытался 12 раз.)

Кстати, конечно, очевидно, но просто чтобы быть уверенным: это плохая идея делегировать домен одному серверу имен (особенно если он не был спрошен)

...