因DNSSEC引起的域名解析SERVFAIL

发布于 2020-01-04  560 次阅读


说一个神奇troubleshooting。

起因:tutugreen.com海外至今(2019-09-22)无法正常解析

(这篇文章虽然空间先发了个大概,但博客文章实在太忙,从2019年8月摸鱼摸到2020年还在咕了,那就先发出来,之后再整理补图吧~,万一帮到哪位dalao了呢)

常见思维:莫非被墙了?

已知的信息:

1.在中国境内,114、阿里DNS等各大均能够正常解析。

2.在中国境内,几大海外流行DNS均不能解析(包括8.8.8.8,1.1.1.1等)。

3.在海外服务器,使用nslookup指定114.114.114.114,223.5.5.5等解析时正常,使用默认内网DNS正常,使用8.8.8.8,1.1.1.1不正常。

4.域名原来在自己代理商,一年前迁移至腾讯云(≈新网)。

之前发生了啥?

因GeoDNS需要,tutugreen.com、prpr.cloud等多个域名从Cloudflare的DNS迁移至华为云DNS,迁移前什么问题都没有。

迁移后prpr.cloud全面解析正常,tutugreen.com出现上述问题。

导致部分互联节点使用了tutugreen.com下的DNS解析,出现偏差。

先剧透一下最终原因:腾讯云

排错思路:

其实8月19当日就排出来了,但要从一年前说起。

很久之前域名是在自己代理商(RC)的,然后DNS在Cloudflare,但域名之后迁到了腾讯云,都知道域名服务商迁移是非常丝滑不会产生中断的,理应是这样,实际也是这样。

到上周,因为有按地区解析的需要,也为了缩短国内解析时间,吧DNS从Cloudflare搬到了华为云。原先放在Cloudflare的主要原因是使用它的免费CDN套餐需要作为NS解析接入托管整个域名,而现在申请了Cloudflare Partner之后就可以以CNAME方式接入它的CDN了。域名也是备案的有很多选择。

那问题来了,换到华为云之后就出现了偏差,很多依赖DNS的互联姬直接Boom了,看似是DNS解析出现了偏差?

迁移按道理来说也是平滑的,没有中断的,还是等了等,等了一周了还没好,咋办呢?

自己在本地尝试nslookup www.tutugreen.com,没问题,指定走223.5.5.5,没问题,指定走114.114.114.114,没问题。但是走8.8.8.8或1.1.1.1等常用DNS时,炸了,直接返回Server Failed。

当时理解时这样,啊?

谷歌的DNS也能Server Failed?好奇只有之前自建Bind爆炸才会这样,后来想想,既然CF也炸了,那可能是华为云的问题?

来回斩了几回合都没整明白问题在哪,后来走了一波谷歌的DNS诊断流程,赫然看到DNSSEC,会不会这玩意还没删掉?

因为腾讯云的域名管理到现在都非常简单。除了实名、修改NS、过户保护等等就没啥功能了,DNSPOD都N年没有更新了别提DNSSEC了。

后来走了一拨DNSSEC诊断。麻鸭发现DS Key赫然在列,顺带一坨叹号。

So,历史情况是这样的,在很久很久以前起了个当时没有什么用的DNSSEC,也就是每条DNS记录都有签名,和域名服务商的公钥对应,可以用来判断DNS是否被污染,这个是Cloudflare给的指导,而且非常方便的设定完成。

现在问题来了,华为云沟通后发现不支持DNSSEC,而且因为我已经吧Zone从Cloudflare删掉了,所以现在也没法找到原先的Key。

回去找腾讯云,仔细度娘了一波,新网是支持DNSSEC的,但在腾讯云内没个影子,提工单问了一波。

可能是我字敲太多客服一开始没搞懂我啥意思,后来再次回了一波后,好像,搞懂了?来了个电话。

大致通话就是:balabala~我们这边不支持DNSSEC的。我:你们和新网是一家吗?客服:嗯,准确的说我们是新网的代理。我:那我百度了下新网支持DNSSEC的,会不会当时迁移的时候带入了,你们这也没给入口?balabala~客服:balabala~能理解,我再内部核实一下。

现在还在坐等腾讯云的处理结果。

有的小伙伴可能就问了,欸你这好解决啊,把域名迁到别的支持DNSSEC修改的服务商再转回不就完事了?

情况是tutugreen.com已经被续到2029-06-08,没有记错的话,域名最高续费10年封顶,如果我现在来波转出入,就会多花两年的续费却没有续费的增加。(域名的服务商迁移是相当于一次收一年的费用,当然域名在迁移时也会自动续期一年,已经10年封顶的除外)

而且我别的域名也挂了DNSSEC,如果这个不能解决岂不是都得迁出去。。。

首先还是要表扬一下各个客服,响应速度贼快,特别是华为云客服,虽然没帮倒忙,但一分钟内秒回太秀了,太秀了,太秀了。

腾讯云客服最后经过N波升级之后,终于搞定了。


眼里有远方,心中有阳光,脚下有力量