Pourquoi le serveur DNS ne peut-il résoudre aucun domaine se terminant par .io?


10

J'ai deux contrôleurs de domaine Windows.

10.10.10.10 Primaire (victoire 2008 r2)
10.10.10.20 Réplique (victoire 2012 r2)

Le second est configuré comme une réplique du premier.

Environ une fois par semaine, le contrôleur de domaine principal mettra en cache de manière négative la plupart des .io domaines. Cela permet à personne dans l'entreprise d'accéder à des sites tels que:

chef.io
packer.io
yahoo.io
github.io

Étrangement, je peux toujours accéder à certaines pages .io, comme celles de github.io

spuder.github.io/

La solution consiste à RDP dans le serveur DNS et à exécuter dnscmd /clearcache. Cela résout le problème pendant 7 à 10 jours.

D'autres symptômes

  • N'affecte que le contrôleur de domaine principal (le contrôleur de domaine secondaire et les autres contrôleurs de domaine peuvent très bien résoudre ces sites)
  • les serveurs Google DNS fonctionnent également
  • Se produit habituellement vers 11 h le mercredi.

Je ne connais pas très bien les fenêtres, mais voici les choses que j'ai essayées

  • Regardez les journaux, je ne vois que les lignes suivantes qui semblent intéressantes

8:15AM
The DNS server wrote version 4638 of zone 254.10.in-addr.arpa to file 254.10.in-addr.arpa.dns..in-addr.arpa to file 254.10.in-addr.arpa.dns.

8:16AM
A more recent version, version 4639 of zone 254.10.in-addr.arpa was found at the DNS server at 10.254.40.51. Zone transfer is in progress.ic replication between domain controllers in a common domain or forest. By installing multiple domain controllers in a domain running DNS Server, you can ensure that DNS will continue to work when a domain co
  • Vérifiez qu'il n'y a pas de zone de recherche directe ou inversée pour le domaine .io
  • Assurez-vous que rien dans le fichier d'hôtes ne bloque le domaine .io
  • Comparez la sortie de ipconfig /displaydnssur tous les contrôleurs de domaine

Y a-t-il autre chose que je peux étudier pour savoir pourquoi le cache DNS continue de se corrompre de manière prévisible? Existe-t-il un paramètre DNS Windows qui peut vider le cache de force lors du transfert de zone

Mise à jour
J'ai limité cela au fait que je passe souvent du filaire au sans fil juste avant la réunion de mercredi. Le sans fil a 1 serveur DNS Windows 2008 et 1 serveur DNS Windows 2012. Lorsque le serveur 2008 est sélectionné comme serveur principal, le problème revient. La solution de contournement consiste à exécuter cela dnscmd /clearcache. Depuis que le serveur 2008 s'en va, je suis sûr que ce problème se résoudra.


C'est terriblement spécifique. C'est comme si les données du serveur de noms pour le ioTLD s'encombraient, ou qu'un périphérique réseau en amont qui n'était pas partagé avec le DC secondaire se détraquait en raison de politiques d'inspection approfondies des paquets. Assurez-vous qu'il n'y a aucune zone sur le contrôleur de domaine principal qui pourrait interférer avec les serveurs de noms en amont pour ce TLD. ( ., io, net, ac, uk, co.uk, ns13.net, nic.io, nic.ac, icb.co.uk, communitydns.net) Stupide sons, mais les gens font parfois des choses très braindead lors d'une tentative d'utiliser leur DC comme solution de firewalling DNS.
Andrew B

Une autre chose à faire est de vérifier comment vos serveurs DNS effectuent des recherches non locales. Pour chacun de vos serveurs DNS, vérifiez les paramètres des redirecteurs et des conseils racine. Si l'un utilise un transitaire filtré et que l'autre ne l'est pas, cela pourrait être votre problème. Alternativement, si vous n'avez qu'un seul transitaire et un ensemble incomplet d'indications de racine, vous pouvez avoir des problèmes de recherche à partir de cela.
Mark

1
Que se passe-t-il d'autre dans votre système à 11h le mercredi, qui pourrait empêcher ce serveur de rechercher ces domaines (et de mettre en cache l'échec)?
Calle Dybedahl du

donc le problème est sur le client, certains domaines * .io ne sont pas résolus du tout jusqu'à ce que vous effaciez le cache? Si vous allez sur la console DNS, l'interface graphique de la console affiche-t-elle les adresses IP correctes pour ces noms dans le cache?
strongline

Votre serveur DNS est-il configuré pour utiliser des redirecteurs?
Mike Marseglia

Réponses:


1

Pensez à mettre à jour votre fichier root.hints. Peut-être que cela pointe vers d'anciens serveurs de noms racine qui (pour une raison quelconque) ne renvoient pas de domaines .io.

Peut-être que vous avez un problème de routage qui empêche d'y accéder (c'est-à-dire: vous trouez la plage IP sur laquelle ils s'exécutent), ce qui empêche de rechercher les domaines à l'intérieur. Celui-ci est mon pari - vous avez peut-être une règle de pare-feu contre un pays ou un bloc IP. Utilisez mes résultats ci-dessous pour vérifier votre pare-feu ou faire une recherche dig / nsearch pour les serveurs .io TLD (vous pouvez télécharger un binaire pour Windows à partir de http://www.isc.org/downloads/

# dig +trace +identify git.io
...
io.                     172800  IN      NS      b0.nic.io.
io.                     172800  IN      NS      a0.nic.io.
io.                     172800  IN      NS      a2.nic.io.
io.                     172800  IN      NS      ns-a1.io.
io.                     172800  IN      NS      ns-a3.io.
io.                     172800  IN      NS      c0.nic.io.
...

Pouvez-vous accéder directement à tous ces serveurs DNS? Par exemple, votre serveur DNS peut utiliser à plusieurs reprises le premier de la liste. Gardez à l'esprit que cette liste est à un moment (en ce moment) et change, mais devrait vous donner un point initial pour voir si vous pouvez atteindre les serveurs de noms de racine .io.

# for i in b0.nic.io a0.nic.io a2.nic.io ns-a1.io ns-a3.io c0.nic.io; do host $i; done
b0.nic.io has address 65.22.161.17
b0.nic.io has IPv6 address 2a01:8840:9f::17
a0.nic.io has address 65.22.160.17
a0.nic.io has IPv6 address 2a01:8840:9e::17
a2.nic.io has address 65.22.163.17
a2.nic.io has IPv6 address 2a01:8840:a1::17
ns-a1.io has address 194.0.1.1
ns-a1.io has IPv6 address 2001:678:4::1
ns-a3.io has address 74.116.178.1
c0.nic.io has address 65.22.162.17
c0.nic.io has IPv6 address 2a01:8840:a0::17

Si vous utilisez des redirecteurs, testez directement une recherche ns vers ces redirecteurs. S'il ne revient pas, contactez la personne qui les gère (votre FAI).

==== Mise à jour: Compte tenu de votre mise à jour, où vous remarquez que cela se produit lorsque vous changez de FAI, je suppose que l'une de vos connexions utilise IPv6 et l'autre est uniquement compatible IPv4? Il se peut qu'il mette en cache l'adresse de retour IPv6, mais ce n'est plus accessible une fois que vous avez changé de connexion.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.