Por que o servidor DNS não pode resolver nenhum domínio que termina em .io?

10

Eu tenho dois controladores de domínio do Windows.

10.10.10.10 Primário (vitória 2008 r2)
10.10.10.20 Réplica (vitória 2012 r2)

O segundo está configurado como uma réplica do primeiro.

Cerca de uma vez por semana, o controlador de domínio primário primário coloca em cache negativamente a maioria dos .io domínios. Isso faz com que ninguém na empresa possa acessar sites como:

chef.io
packer.io
yahoo.io
github.io

Estranhamente, ainda posso acessar algumas páginas .io, como as do github.io

spuder.github.io/

A solução é fazer o RDP no servidor DNS e executar dnscmd /clearcache. Isso corrige o problema por 7 a 10 dias.

Sintomas adicionais

  • Afeta apenas o controlador de domínio primário (o secundário e outros controladores de domínio podem resolver esses sites muito bem)
  • servidores DNS do Google também funcionam
  • Geralmente acontece às 11 da manhã às quartas-feiras.

Eu não estou muito familiarizado com o Windows, mas aqui estão as coisas que eu tentei

  • Olhe para os logs, só vejo as seguintes linhas que parecem interessantes 
8:15AM
The DNS server wrote version 4638 of zone 254.10.in-addr.arpa to file 254.10.in-addr.arpa.dns..in-addr.arpa to file 254.10.in-addr.arpa.dns.

8:16AM
A more recent version, version 4639 of zone 254.10.in-addr.arpa was found at the DNS server at 10.254.40.51. Zone transfer is in progress.ic replication between domain controllers in a common domain or forest. By installing multiple domain controllers in a domain running DNS Server, you can ensure that DNS will continue to work when a domain co
  • Verifique se não há zonas de pesquisa direta ou reversa para o domínio .io
  • Verifique se não há nada no arquivo hosts bloqueando o domínio .io
  • Compare a saída de ipconfig /displaydnsem todos os controladores de domínio

Existe algo mais que eu possa investigar para descobrir por que o cache do DNS está ficando corrompido de maneira tão previsível? Existe uma configuração de DNS do Windows que possa liberar à força o cache ao executar o transer de zona

Atualização
Eu reduzi isso ao fato de que muitas vezes mudo de com fio para sem fio logo antes da reunião de quarta-feira. O sistema sem fio possui 1 servidor DNS do Windows 2008 e 1 servidor DNS do Windows 2012. Quando o servidor 2008 é selecionado como principal, o problema retorna. A solução alternativa é executar isso dnscmd /clearcache. Como o servidor de 2008 está indo embora, tenho certeza de que esse problema será corrigido.

domain-name-system windows-server-2008-r2 internal-dns spuder
fonte
Isso é muito específico. É como se os dados do servidor de nomes para o ioTLD estivessem sobrecarregados, ou um dispositivo de rede upstream que não é compartilhado com o controlador de domínio de origem secundário estivesse dando errado devido a políticas profundas de inspeção de pacotes. Verifique se não há zonas no controlador de domínio primário que possam interferir nos servidores de nomes upstream para esse TLD. ( ., io, net, ac, uk, co.uk, ns13.net, nic.io, nic.ac, icb.co.uk, communitydns.net) Parece bobo, mas às vezes as pessoas fazem coisas muito braindead ao tentar usar sua DC como uma solução de firewall DNS.
Andrew B
Outra coisa a fazer é verificar como os servidores DNS fazem pesquisas não locais. Para cada um dos seus servidores DNS, verifique as configurações de Encaminhadores e dicas de raiz. Se um estiver usando um encaminhador filtrado e o outro não, esse pode ser o seu problema. Como alternativa, se você tiver apenas um encaminhador e um conjunto incompleto de dicas de raiz, poderá ter problemas com isso.
Mark
1
O que mais acontece no seu sistema às 11h às quartas-feiras, que pode levar o servidor a não procurar esses domínios (e a armazenar em cache a falha)?
Calle Dybedahl 18/07/2015
para que o problema ocorra no cliente, alguns domínios * .io não serão resolvidos até que você limpe o cache? Se você for no console DNS, a GUI do console mostra os IPs corretos para esses nomes no cache?
Strongline
Seu servidor DNS está configurado para usar encaminhadores?
Mike Marseglia

Respostas:

1

Considere atualizar seu arquivo root.hints. Talvez esteja apontando para alguns servidores de nomes raiz antigos que (por algum motivo) não estão retornando domínios .io.

Talvez você tenha um problema de roteamento que impede o acesso a eles (ou seja, você está ocultando o intervalo de IPs em que executam), o que impede a pesquisa dos domínios dentro dele. Esta é a minha aposta - talvez você tenha uma regra de firewall contra um país ou bloco de IP. Use meus resultados abaixo para verificar seu firewall ou pesquisar / pesquisar nos servidores de TLD .io (você pode baixar um binário para Windows em http://www.isc.org/downloads/

# dig +trace +identify git.io
...
io.                     172800  IN      NS      b0.nic.io.
io.                     172800  IN      NS      a0.nic.io.
io.                     172800  IN      NS      a2.nic.io.
io.                     172800  IN      NS      ns-a1.io.
io.                     172800  IN      NS      ns-a3.io.
io.                     172800  IN      NS      c0.nic.io.
...

Você pode acessar todos esses servidores DNS diretamente? Seu servidor DNS pode usar repetidamente o primeiro da lista, por exemplo. Lembre-se de que esta lista está em um momento (agora) e muda, mas deve fornecer um ponto inicial para verificar se você pode acessar os servidores de nomes raiz .io.

# for i in b0.nic.io a0.nic.io a2.nic.io ns-a1.io ns-a3.io c0.nic.io; do host $i; done
b0.nic.io has address 65.22.161.17
b0.nic.io has IPv6 address 2a01:8840:9f::17
a0.nic.io has address 65.22.160.17
a0.nic.io has IPv6 address 2a01:8840:9e::17
a2.nic.io has address 65.22.163.17
a2.nic.io has IPv6 address 2a01:8840:a1::17
ns-a1.io has address 194.0.1.1
ns-a1.io has IPv6 address 2001:678:4::1
ns-a3.io has address 74.116.178.1
c0.nic.io has address 65.22.162.17
c0.nic.io has IPv6 address 2a01:8840:a0::17

Se você estiver usando encaminhadores, teste uma nslookup diretamente nesses encaminhadores. Se não retornar, entre em contato com a pessoa que os executa (seu ISP).

==== Atualização: Dada a sua atualização, onde você nota que isso acontece quando você altera os ISPs, eu acho que uma de suas conexões está usando IPv6 e a outra é compatível apenas com IPv4? Pode ser que ele esteja armazenando em cache o endereço de retorno IPv6, mas isso não é acessível depois que você alterna as conexões.

michaelkrieger
fonte