На прошлой неделе у нас внезапно возникли проблемы с разрешением полного доменного имени (syrex.quosalsell.com) в нашей корпоративной сети. В последний раз на серверах Windows устанавливались обновления после патча во вторник в январе, поэтому никаких изменений нет.
Мне кажется, что Azure делает что-то не так, так как другой почти идентичный домен, размещенный в другом месте, работает отлично. Однако я не могу понять, что они делают неправильно.
Мы не владеем доменом, он связан со службой, которую мы потребляем, и этот поставщик услуг сообщает нам, что это проблема в нашей среде. Для проверки мы развернули новую чистую неподключенную Windows Server 2022, установили роль DNS, а затем получили якорь доверия (проверка DNSSEC включена по умолчанию, начиная с Windows Server 2016, но якорь доверия не извлекается автоматически, поэтому он фактически отключен до тех пор, пока это не произойдет). этот).
Мы получили якорь доверия, тем самым включив проверку DNSSEC, с помощью следующей команды:
Get-DnsServerTrustAnchor -Name .
NB: мы можем разрешить домен через Google (8.8.8.8), Cloudflare (1.1.1.1) и наши собственные рекурсивные преобразователи DNS (BIND v9.16.37-1~deb11u1), у которых включена проверка DNSSEC. Похоже, это не тот случай, когда настроена запись DS, но зона не подписана.
Нюанс заключается в следующем: если мы отправляем обычные запросы «A» для домена, он работает, как и ожидалось, но когда мы отправляем запрос для записи «DS», DNS-сервер Windows Server 2022 кэширует ответ SERVFAIL и после этого отвечает SERVFAIL на любые дальнейшие запросы. клиентские запросы относительно этого полного доменного имени.
В приведенных ниже примерах мы отправляли запросы на новый DNS-сервер от клиента (192.168.1.77), для которого настроена переадресация в сторону Google (8.8.8.8). Проблема, однако, не в Google, поскольку Windows DNS ведет себя одинаково, когда мы используем наши собственные рекурсивные преобразователи (BIND, работающий в Debian 11) или Cloudflare (1.1.1.1).
Проблемный домен, размещенный в Azure:
2023/02/07 21:04:34 158C PACKET 00000221C36BE530 UDP Snd 8.8.8.8 e95b Q [1001 D NOERROR] DNSKEY (0)
2023/02/07 21:04:35 1A68 PACKET 00000221C508D0B0 UDP Rcv 8.8.8.8 e95b R Q [b081 DR NOERROR] DNSKEY (0)
2023/02/07 21:04:36 1A68 PACKET 00000221C322E5E0 UDP Rcv 192.168.1.77 a476 Q [2001 D NOERROR] DS (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:36 1A68 PACKET 00000221C36A58A0 UDP Snd 8.8.8.8 58c3 Q [1001 D NOERROR] DS (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:36 1A68 PACKET 00000221C6CEBDC0 UDP Rcv 8.8.8.8 58c3 R Q [9081 DR NOERROR] DS (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:36 1A68 PACKET 00000221CA727910 UDP Snd 8.8.8.8 1f93 Q [1001 D NOERROR] DS (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:37 1A68 PACKET 00000221C4D61CC0 UDP Rcv 8.8.8.8 1f93 R Q [9281 DR SERVFAIL] DS (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:37 1A68 PACKET 00000221C322E5E0 UDP Snd 192.168.1.77 a476 R Q [8281 DR SERVFAIL] DS (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:38 1A68 PACKET 00000221C32310A0 UDP Rcv 192.168.1.77 5c95 Q [2001 D NOERROR] NS (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:38 1A68 PACKET 00000221C32310A0 UDP Snd 192.168.1.77 5c95 R Q [8281 DR SERVFAIL] NS (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:39 1A68 PACKET 00000221C508D0B0 UDP Rcv 192.168.1.77 4d06 Q [2001 D NOERROR] A (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:39 1A68 PACKET 00000221C508D0B0 UDP Snd 192.168.1.77 4d06 R Q [8281 DR SERVFAIL] A (5)syrex(10)quosalsell(3)com(0)
После небольшого поиска мы наконец нашли другое (не связанное) полное доменное имя, которое также делает нуль использование DNSSEC, когда полное доменное имя преобразуется в CNAME в другое полное доменное имя. В этом случае проблема не возникает, она возникает только в зонах DNS, размещенных в Azure:
2023/02/07 21:50:50 1FBC PACKET 00000242ED8BBB20 UDP Snd 8.8.8.8 dd69 Q [1001 D NOERROR] DNSKEY (0)
2023/02/07 21:50:51 17CC PACKET 00000242EE6699A0 UDP Rcv 8.8.8.8 dd69 R Q [b081 DR NOERROR] DNSKEY (0)
2023/02/07 21:50:52 17CC PACKET 00000242ED8C9650 UDP Rcv 192.168.1.77 fa6d Q [2001 D NOERROR] DS (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:52 17CC PACKET 00000242ED8B9060 UDP Snd 8.8.8.8 1f42 Q [1001 D NOERROR] DS (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET 00000242EDD95D40 UDP Rcv 8.8.8.8 1f42 R Q [9081 DR NOERROR] DS (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET 00000242F4D9C070 UDP Snd 8.8.8.8 d346 Q [1001 D NOERROR] DS (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET 00000242F07191B0 UDP Rcv 8.8.8.8 d346 R Q [9081 DR NOERROR] DS (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET 00000242F4D9C070 UDP Snd 8.8.8.8 16a2 Q [1001 D NOERROR] DS (6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET 00000242F0B968D0 UDP Rcv 8.8.8.8 16a2 R Q [9081 DR NOERROR] DS (6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET 00000242F4DB4D00 UDP Snd 8.8.8.8 37f2 Q [1001 D NOERROR] DS (2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET 00000242F0CA40F0 UDP Rcv 8.8.8.8 37f2 R Q [9081 DR NOERROR] DS (2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET 00000242F4DBFD40 UDP Snd 8.8.8.8 eaa1 Q [1001 D NOERROR] DNSKEY (2)za(0)
2023/02/07 21:50:53 17CC PACKET 00000242EFDB2D80 UDP Rcv 8.8.8.8 eaa1 R Q [b081 DR NOERROR] DNSKEY (2)za(0)
2023/02/07 21:50:53 17CC PACKET 00000242F4DC2950 UDP Snd 8.8.8.8 7e83 Q [1001 D NOERROR] DS (2)za(0)
2023/02/07 21:50:53 17CC PACKET 00000242F0923990 UDP Rcv 8.8.8.8 7e83 R Q [9081 DR NOERROR] DS (2)za(0)
2023/02/07 21:50:53 17CC PACKET 00000242F4DBFD40 UDP Snd 8.8.8.8 0082 Q [1001 D NOERROR] DNSKEY (2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET 00000242F0CD58A0 UDP Rcv 8.8.8.8 0082 R Q [b081 DR NOERROR] DNSKEY (2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET 00000242F4DB4D00 UDP Snd 8.8.8.8 d7e1 Q [1001 D NOERROR] DS (2)za(0)
2023/02/07 21:50:53 17CC PACKET 00000242EE4649E0 UDP Rcv 8.8.8.8 d7e1 R Q [9081 DR NOERROR] DS (2)za(0)
2023/02/07 21:50:53 17CC PACKET 00000242F4D9C070 UDP Snd 8.8.8.8 a2e6 Q [1001 D NOERROR] DNSKEY (10)cloudflare(3)NET(0)
2023/02/07 21:50:54 17CC PACKET 00000242F063FDD0 UDP Rcv 8.8.8.8 a2e6 R Q [b081 DR NOERROR] DNSKEY (10)cloudflare(3)NET(0)
2023/02/07 21:50:54 17CC PACKET 00000242F4DB4D00 UDP Snd 8.8.8.8 a3d6 Q [1001 D NOERROR] DS (10)cloudflare(3)NET(0)
2023/02/07 21:50:54 17CC PACKET 00000242F1137890 UDP Rcv 8.8.8.8 a3d6 R Q [b081 DR NOERROR] DS (10)cloudflare(3)NET(0)
2023/02/07 21:50:54 17CC PACKET 00000242F4DBFD40 UDP Snd 8.8.8.8 b3ca Q [1001 D NOERROR] DNSKEY (3)NET(0)
2023/02/07 21:50:54 17CC PACKET 00000242EEDE5990 UDP Rcv 8.8.8.8 b3ca R Q [b081 DR NOERROR] DNSKEY (3)NET(0)
2023/02/07 21:50:54 17CC PACKET 00000242F4DC2950 UDP Snd 8.8.8.8 6e5e Q [1001 D NOERROR] DS (3)NET(0)
2023/02/07 21:50:54 17CC PACKET 00000242F016D0C0 UDP Rcv 8.8.8.8 6e5e R Q [b081 DR NOERROR] DS (3)NET(0)
2023/02/07 21:50:54 17CC PACKET 00000242ED8C9650 UDP Snd 192.168.1.77 fa6d R Q [8281 DR SERVFAIL] DS (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:56 17CC PACKET 00000242ED8CC110 UDP Rcv 192.168.1.77 1f52 Q [2001 D NOERROR] NS (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:56 17CC PACKET 00000242ED8C9650 UDP Snd 8.8.8.8 6d76 Q [1001 D NOERROR] NS (3)www(6)rsaweb(2)co(2)za(3)cdn(10)cloudflare(3)NET(0)
2023/02/07 21:50:56 17CC PACKET 00000242EE0CE070 UDP Rcv 8.8.8.8 6d76 R Q [b081 DR NOERROR] NS (3)www(6)rsaweb(2)co(2)za(3)cdn(10)cloudflare(3)NET(0)
2023/02/07 21:50:56 17CC PACKET 00000242ED8CC110 UDP Snd 192.168.1.77 1f52 R Q [8081 DR NOERROR] NS (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:58 17CC PACKET 00000242EE6699A0 UDP Rcv 192.168.1.77 f63c Q [2001 D NOERROR] A (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:58 17CC PACKET 00000242ED8CC110 UDP Snd 8.8.8.8 ded8 Q [1001 D NOERROR] A (3)www(6)rsaweb(2)co(2)za(3)cdn(10)cloudflare(3)NET(0)
2023/02/07 21:50:58 17CC PACKET 00000242EED2A9E0 UDP Rcv 8.8.8.8 ded8 R Q [9081 DR NOERROR] A (3)www(6)rsaweb(2)co(2)za(3)cdn(10)cloudflare(3)NET(0)
2023/02/07 21:50:58 17CC PACKET 00000242EE6699A0 UDP Snd 192.168.1.77 f63c R Q [8081 DR NOERROR] A (3)www(6)rsaweb(2)co(2)za(0)