Любая идея, почему домен, размещенный в Azure, приведет к тому, что Windows DNS (кэширующий преобразователь) не сможет выполнить поиск?

От: Из: Общие

На прошлой неделе у нас внезапно возникли проблемы с разрешением полного доменного имени (syrex.quosalsell.com) в нашей корпоративной сети. В последний раз на серверах Windows устанавливались обновления после патча во вторник в январе, поэтому никаких изменений нет.

Мне кажется, что Azure делает что-то не так, так как другой почти идентичный домен, размещенный в другом месте, работает отлично. Однако я не могу понять, что они делают неправильно.

Мы не владеем доменом, он связан со службой, которую мы потребляем, и этот поставщик услуг сообщает нам, что это проблема в нашей среде. Для проверки мы развернули новую чистую неподключенную Windows Server 2022, установили роль DNS, а затем получили якорь доверия (проверка DNSSEC включена по умолчанию, начиная с Windows Server 2016, но якорь доверия не извлекается автоматически, поэтому он фактически отключен до тех пор, пока это не произойдет). этот).

Мы получили якорь доверия, тем самым включив проверку DNSSEC, с помощью следующей команды:
Get-DnsServerTrustAnchor -Name .

NB: мы можем разрешить домен через Google (8.8.8.8), Cloudflare (1.1.1.1) и наши собственные рекурсивные преобразователи DNS (BIND v9.16.37-1~deb11u1), у которых включена проверка DNSSEC. Похоже, это не тот случай, когда настроена запись DS, но зона не подписана.

Нюанс заключается в следующем: если мы отправляем обычные запросы «A» для домена, он работает, как и ожидалось, но когда мы отправляем запрос для записи «DS», DNS-сервер Windows Server 2022 кэширует ответ SERVFAIL и после этого отвечает SERVFAIL на любые дальнейшие запросы. клиентские запросы относительно этого полного доменного имени.

В приведенных ниже примерах мы отправляли запросы на новый DNS-сервер от клиента (192.168.1.77), для которого настроена переадресация в сторону Google (8.8.8.8). Проблема, однако, не в Google, поскольку Windows DNS ведет себя одинаково, когда мы используем наши собственные рекурсивные преобразователи (BIND, работающий в Debian 11) или Cloudflare (1.1.1.1).

Проблемный домен, размещенный в Azure:

2023/02/07 21:04:34 158C PACKET  00000221C36BE530 UDP Snd 8.8.8.8         e95b   Q [1001   D   NOERROR] DNSKEY (0)
2023/02/07 21:04:35 1A68 PACKET  00000221C508D0B0 UDP Rcv 8.8.8.8         e95b R Q [b081   DR  NOERROR] DNSKEY (0)
2023/02/07 21:04:36 1A68 PACKET  00000221C322E5E0 UDP Rcv 192.168.1.77    a476   Q [2001   D   NOERROR] DS     (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:36 1A68 PACKET  00000221C36A58A0 UDP Snd 8.8.8.8         58c3   Q [1001   D   NOERROR] DS     (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:36 1A68 PACKET  00000221C6CEBDC0 UDP Rcv 8.8.8.8         58c3 R Q [9081   DR  NOERROR] DS     (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:36 1A68 PACKET  00000221CA727910 UDP Snd 8.8.8.8         1f93   Q [1001   D   NOERROR] DS     (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:37 1A68 PACKET  00000221C4D61CC0 UDP Rcv 8.8.8.8         1f93 R Q [9281   DR SERVFAIL] DS     (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:37 1A68 PACKET  00000221C322E5E0 UDP Snd 192.168.1.77    a476 R Q [8281   DR SERVFAIL] DS     (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:38 1A68 PACKET  00000221C32310A0 UDP Rcv 192.168.1.77    5c95   Q [2001   D   NOERROR] NS     (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:38 1A68 PACKET  00000221C32310A0 UDP Snd 192.168.1.77    5c95 R Q [8281   DR SERVFAIL] NS     (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:39 1A68 PACKET  00000221C508D0B0 UDP Rcv 192.168.1.77    4d06   Q [2001   D   NOERROR] A      (5)syrex(10)quosalsell(3)com(0)
2023/02/07 21:04:39 1A68 PACKET  00000221C508D0B0 UDP Snd 192.168.1.77    4d06 R Q [8281   DR SERVFAIL] A      (5)syrex(10)quosalsell(3)com(0)

После небольшого поиска мы наконец нашли другое (не связанное) полное доменное имя, которое также делает нуль использование DNSSEC, когда полное доменное имя преобразуется в CNAME в другое полное доменное имя. В этом случае проблема не возникает, она возникает только в зонах DNS, размещенных в Azure:

2023/02/07 21:50:50 1FBC PACKET  00000242ED8BBB20 UDP Snd 8.8.8.8         dd69   Q [1001   D   NOERROR] DNSKEY (0)
2023/02/07 21:50:51 17CC PACKET  00000242EE6699A0 UDP Rcv 8.8.8.8         dd69 R Q [b081   DR  NOERROR] DNSKEY (0)
2023/02/07 21:50:52 17CC PACKET  00000242ED8C9650 UDP Rcv 192.168.1.77    fa6d   Q [2001   D   NOERROR] DS     (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:52 17CC PACKET  00000242ED8B9060 UDP Snd 8.8.8.8         1f42   Q [1001   D   NOERROR] DS     (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242EDD95D40 UDP Rcv 8.8.8.8         1f42 R Q [9081   DR  NOERROR] DS     (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F4D9C070 UDP Snd 8.8.8.8         d346   Q [1001   D   NOERROR] DS     (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F07191B0 UDP Rcv 8.8.8.8         d346 R Q [9081   DR  NOERROR] DS     (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F4D9C070 UDP Snd 8.8.8.8         16a2   Q [1001   D   NOERROR] DS     (6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F0B968D0 UDP Rcv 8.8.8.8         16a2 R Q [9081   DR  NOERROR] DS     (6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F4DB4D00 UDP Snd 8.8.8.8         37f2   Q [1001   D   NOERROR] DS     (2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F0CA40F0 UDP Rcv 8.8.8.8         37f2 R Q [9081   DR  NOERROR] DS     (2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F4DBFD40 UDP Snd 8.8.8.8         eaa1   Q [1001   D   NOERROR] DNSKEY (2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242EFDB2D80 UDP Rcv 8.8.8.8         eaa1 R Q [b081   DR  NOERROR] DNSKEY (2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F4DC2950 UDP Snd 8.8.8.8         7e83   Q [1001   D   NOERROR] DS     (2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F0923990 UDP Rcv 8.8.8.8         7e83 R Q [9081   DR  NOERROR] DS     (2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F4DBFD40 UDP Snd 8.8.8.8         0082   Q [1001   D   NOERROR] DNSKEY (2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F0CD58A0 UDP Rcv 8.8.8.8         0082 R Q [b081   DR  NOERROR] DNSKEY (2)co(2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F4DB4D00 UDP Snd 8.8.8.8         d7e1   Q [1001   D   NOERROR] DS     (2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242EE4649E0 UDP Rcv 8.8.8.8         d7e1 R Q [9081   DR  NOERROR] DS     (2)za(0)
2023/02/07 21:50:53 17CC PACKET  00000242F4D9C070 UDP Snd 8.8.8.8         a2e6   Q [1001   D   NOERROR] DNSKEY (10)cloudflare(3)NET(0)
2023/02/07 21:50:54 17CC PACKET  00000242F063FDD0 UDP Rcv 8.8.8.8         a2e6 R Q [b081   DR  NOERROR] DNSKEY (10)cloudflare(3)NET(0)
2023/02/07 21:50:54 17CC PACKET  00000242F4DB4D00 UDP Snd 8.8.8.8         a3d6   Q [1001   D   NOERROR] DS     (10)cloudflare(3)NET(0)
2023/02/07 21:50:54 17CC PACKET  00000242F1137890 UDP Rcv 8.8.8.8         a3d6 R Q [b081   DR  NOERROR] DS     (10)cloudflare(3)NET(0)
2023/02/07 21:50:54 17CC PACKET  00000242F4DBFD40 UDP Snd 8.8.8.8         b3ca   Q [1001   D   NOERROR] DNSKEY (3)NET(0)
2023/02/07 21:50:54 17CC PACKET  00000242EEDE5990 UDP Rcv 8.8.8.8         b3ca R Q [b081   DR  NOERROR] DNSKEY (3)NET(0)
2023/02/07 21:50:54 17CC PACKET  00000242F4DC2950 UDP Snd 8.8.8.8         6e5e   Q [1001   D   NOERROR] DS     (3)NET(0)
2023/02/07 21:50:54 17CC PACKET  00000242F016D0C0 UDP Rcv 8.8.8.8         6e5e R Q [b081   DR  NOERROR] DS     (3)NET(0)
2023/02/07 21:50:54 17CC PACKET  00000242ED8C9650 UDP Snd 192.168.1.77    fa6d R Q [8281   DR SERVFAIL] DS     (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:56 17CC PACKET  00000242ED8CC110 UDP Rcv 192.168.1.77    1f52   Q [2001   D   NOERROR] NS     (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:56 17CC PACKET  00000242ED8C9650 UDP Snd 8.8.8.8         6d76   Q [1001   D   NOERROR] NS     (3)www(6)rsaweb(2)co(2)za(3)cdn(10)cloudflare(3)NET(0)
2023/02/07 21:50:56 17CC PACKET  00000242EE0CE070 UDP Rcv 8.8.8.8         6d76 R Q [b081   DR  NOERROR] NS     (3)www(6)rsaweb(2)co(2)za(3)cdn(10)cloudflare(3)NET(0)
2023/02/07 21:50:56 17CC PACKET  00000242ED8CC110 UDP Snd 192.168.1.77    1f52 R Q [8081   DR  NOERROR] NS     (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:58 17CC PACKET  00000242EE6699A0 UDP Rcv 192.168.1.77    f63c   Q [2001   D   NOERROR] A      (3)www(6)rsaweb(2)co(2)za(0)
2023/02/07 21:50:58 17CC PACKET  00000242ED8CC110 UDP Snd 8.8.8.8         ded8   Q [1001   D   NOERROR] A      (3)www(6)rsaweb(2)co(2)za(3)cdn(10)cloudflare(3)NET(0)
2023/02/07 21:50:58 17CC PACKET  00000242EED2A9E0 UDP Rcv 8.8.8.8         ded8 R Q [9081   DR  NOERROR] A      (3)www(6)rsaweb(2)co(2)za(3)cdn(10)cloudflare(3)NET(0)
2023/02/07 21:50:58 17CC PACKET  00000242EE6699A0 UDP Snd 192.168.1.77    f63c R Q [8081   DR  NOERROR] A      (3)www(6)rsaweb(2)co(2)za(0)

  • система доменных имен
  • windows-dns
  • лазурный DNS

0

Похожие записи:

  1. почему «arp -a» показывает несогласованные результаты, которые сильно различаются?
  2. Аутентификация сервера windows openssh не удалась с правильным паролем
  3. Проблемы с исходящим звуком в Asterisk
  4. Почему jumba проходит через интерфейс с mtu1500?
  5. libvirt: как использовать OpenVPN-соединение хоста

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *