เหตุใดการผูกจึงปฏิเสธบางคำถามของฉัน สิ่งนี้จะเกิดขึ้นกับบางโดเมนเท่านั้น
แบบสอบถามผ่านชื่อล้มเหลว:
$ ขุด -t fedoraproject.org @ 127.0.0.1
;; ->>HEADER<<- opcode: QUERY, สถานะ: SERVFAIL, id: 33117
$journalsctl -n10
...
01 ส.ค. 17:07:11 น. ns3.r3.mclarkdev.com ชื่อ [10807]: แบบสอบถามการเตรียมตัวแก้ไขเสร็จสมบูรณ์
1 ส.ค. 17:09:57 น. ns3.r3.mclarkdev.com ชื่อ [10807]: หมดเวลาแก้ไข 'fedoraproject.org/DNSKEY/IN': 8.8.8.8#53
1 ส.ค. 17:09:59 น. ns3.r3.mclarkdev.com ชื่อ [10807]: หมดเวลาแก้ไข 'fedoraproject.org/DNSKEY/IN': 8.8.8.8#53
อย่างไรก็ตาม การสอบถามโดยตรงไปยังผู้ส่งต่อได้ผล:
$ ขุด -t fedoraproject.org @ 8.8.8.8
;; ->>HEADER<<- opcode: QUERY, สถานะ: NOERROR, id: 42249
...บันทึก...
Bind กำลังใช้การกำหนดค่าเริ่มต้นที่ค่อนข้างดี
สิ่งเดียวที่ฉันเปลี่ยนคืออนุญาตการสืบค้นจากทุกที่และเพิ่มไฟล์โซนสำหรับให้บริการบันทึกในเครื่อง
ตัวเลือก {
ฟังพอร์ต 53 { ใด ๆ ; };
อนุญาตแบบสอบถาม { ใด ๆ ; };
ผู้ส่งต่อ { 8.8.8.8; };
การเรียกซ้ำ ใช่;
...
เปิดใช้งาน dnssec ใช่;
การตรวจสอบ dnssec ใช่; // ยังพยายามอัตโนมัติ
}
...
// รวมคำจำกัดความ `โซน` เพิ่มเติมสองรายการ
รวมถึง "/opt/dns/named.zones";
เวอร์ชันระบบปฏิบัติการ: CentOS Linux รีลีส 8.4.2105
เวอร์ชันเคอร์เนล:4.18.0-305.10.2.el8_4.x86_64
ชื่อรุ่น: BIND 9.11.26-RedHat-9.11.26-4.el8_4
การรับชม tcpdumpฉันเห็นว่า Name กำลังติดต่อกับ Forwarder และเรียกระเบียน A แต่ปฏิเสธที่จะให้บริการแก่ลูกค้าหลังจากทำแบบสอบถามเพิ่มเติม
localhost.49683 > localhost.domain: 14274+ A? fedoraproject.org (35)
ns3.r3.mclarkdev.com.56668 > 8.8.8.8.domain: 21852+% [1au] A? fedoraproject.org (58)
localhost.39587 > localhost.domain: 53253+ PTR? 8.8.8.8.in-addr.arpa (38)
ns3.r3.mclarkdev.com.55378 > 8.8.8.8.domain: 61019+% [1au] PTR? 8.8.8.8.in-addr.arpa (61)
8.8.8.8.domain > ns3.r3.mclarkdev.com.56668: 21852$ 12/0/1 fedoraproject.org 140.211.169.206, fedoraproject.org 152.19.134.198, fedoraproject.org 8.43.85.73, fedoraproject.org 152.19.134.142, fedoraproject.org 38.145.60.21, fedoraproject.org 140.211.169.196, fedoraproject.org 209.132.190.2, fedoraproject.org 8.43.85.67, fedoraproject.org 67.219.144.68, fedoraproject.org 38.145.60.20, fedoraproject.orgRRSIG, fedoraproject.org อาร์ซิก (528)
/\ bind มีระเบียน A
ns3.r3.mclarkdev.com.52120 > 8.8.8.8.domain: 7073+% [1au] DNSKEY? fedoraproject.org (58)
8.8.8.8.domain > ns3.r3.mclarkdev.com.55378: 61019 1/0/1 8.8.8.8.in-addr.arpa PTR DNS.google. (73)
ns3.r3.mclarkdev.com.55309 > 8.8.8.8.domain: 23607+% [1au] DS? 8.in-addr.arpa. (55)
localhost.48388 > localhost.domain: 55328+ PTR? 201.23.16.172.in-addr.arpa. (44)
/\ bind สร้างข้อความค้นหาเพิ่มเติม
localhost.domain > localhost.48388: 55328 NXDomain* 0/1/0 (98)
/\ ผูกให้บริการ NXDomain กับไคลเอนต์
เหตุใดชื่อจึงปฏิเสธที่จะให้บริการผลลัพธ์แก่ลูกค้า เกิดขึ้นเพียงประมาณ 1% ของโดเมนเท่านั้น
tcpdump แสดงว่าได้รับไฟล์ ก บันทึกของ fedoraproject.orgแต่ก็ยังพยายามที่จะได้รับ DNSKEY บันทึกซึ่งใช้สำหรับการตรวจสอบ DNSSEC แต่ไม่มีการตอบสนองต่อสิ่งนั้น
ฉันถาม 8.8.8.8 สำหรับสิ่งนี้ DNSKEY บันทึกและทำงานได้ดี
$ ขุด fedoraproject.org dnskey @ 8.8.8.8
; <<>> DiG 9.10.6 <<>> fedoraproject.org dnskey @8.8.8.8
;; ตัวเลือกส่วนกลาง: +cmd
;; ได้รับคำตอบ:
;; ->>HEADER<<- opcode: QUERY, สถานะ: NOERROR, id: 63666
;; ธง: qr rd ra ad; คำถาม: 1, คำตอบ: 4, ผู้มีอำนาจ: 0, เพิ่มเติม: 1
;; เลือก PSEUDOSECTION:
; EDNS: เวอร์ชัน: 0, แฟล็ก:; โฆษณา: 512
;; ส่วนคำถาม:
;fedoraproject.org ใน DNSKEY
;; ส่วนคำตอบ:
fedoraproject.org 108 IN DNSKEY 256 3 5 AwEAAcCWNQWl5pCI3iOOP2r8nStL60Zjb/2JQLQytamVap0L44z0YWft u7pu0hx3cnIM1ejQOsEwbg2/10IyC+38cYqJDXbSdFg1zGztOS5xNz7r 9hzSRK5N2jkycdJ/BoByJ4Y+XGpDqfG4I97++8sIzSrw60TmGAKTvM9v iL3ByeCN
fedoraproject.org 108 IN DNSKEY 257 3 5 AwEAAdTXJc0joiKGfTvLXi+LXxGpKvPvOoJEst9PR8TCCvXGVp7h3BY3 uXLkjckuT0aopCp2KF8zHgNgpMK03p1fd94pn9JZSuxfqvKsiYH2KvNO a/655oPj06jRhqAP5grX01Iz4BH411ZhGxIQ1BzZtOr1wAazojMJzLUg ChRJs8GVt3LU0e6T8z1RQF33Dt9UMHIR5EAsFAqfZ/tsbfJDYktGoZi3 nFlW7A745+ObM1LNXOWq3FcYPVzhH08Q7/7WpxmzM6/ET8VeqWIsvh8E nZNDNMfJyPbY9B1BOIrFCpE03ALgFMejaBZwmeQaX+D4Duup5xGOmdtC O4GSpM1YH6c=
fedoraproject.org 108 ใน DNSKEY 257 3 14 7ttmhus8JD56ybsvMVZVsXa3U2R+2+WmOPIP7BU6t2LicosMZ2Ju3pfv ijsa5LvBvVCB4xVtLSqEdLSvW4vJPLSAB2uyJwHPJMezh0SzGmVCImLU 6qDxsxjHqtZ76/Sf
fedoraproject.org 108 ใน DNSKEY 256 3 14 04ZsDOgyzs3kJsJ4jEY3MYufkCOWm1OI8N4M+dlBOBmweln0TSaKfafH zNCkaPiVG4bdgdnrzwxmjpK5GQgsiB47np+I8850Ea3EJG5ORDl3f//l rr92HiYh5DxCNhkG
ดังนั้นฉันจึงสงสัยว่ามีบางอย่างในสภาพแวดล้อมของคุณกำลังปิดกั้นการสืบค้นหรือการตอบกลับ อาจเป็นปัญหาไฟร์วอลล์ การกรองประเภทระเบียน DNS หรือการตอบกลับจำนวนมาก
ดูเหมือนว่าการติดตั้งการผูกของคุณจะสำลักการตรวจสอบ DNSSEC สำหรับโดเมนที่ลงชื่อ DNSSEC การผูกเวอร์ชันล่าสุดมีการเปิดใช้งานการตรวจสอบ DNSSEC เป็นค่าเริ่มต้น แต่ เวอร์ชันเก่าเช่น 9.11 จำเป็นต้องเปิดใช้งานอย่างชัดเจน:
ตัวเลือก {
...
การตรวจสอบ DNSsec อัตโนมัติ;
...
};
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
