内网DNS报错:** server can‘t find ns1.aaa.com: SERVFAIL

内网DNS解析错误

1. 起因

DNS主域控在境外,想将内网DNS解析由本地DNS解析.网络环境为内网,无法访问INTERNET.搭建完毕后发现无法解析需要forward那些zone.
bind版本:bind-9.11.4

2. 故障现象

起初配置非常顺利,通过以下命令,将intra.aaa.com的所有记录都抓取下来,并实现所有现有的A记录和CNAME等解析

 dig -t axfr intra.aaa.com @192.168.31.67 

当解析intra.aaa.com以外的域名解析时发生了错误.报错信息:

[root@dns01 ~]# nslookup ns1.aaa.com.
Server:		192.168.31.66
Address:	192.168.31.66#53

** server can't find ns1.aaa.com: SERVFAIL

但执行dig ns1.aaa.com. @192.168.31.67又是能解析到的

[root@dns01 ~]# dig ns1.aaa.com. @192.168.31.67

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> ns1.aaa.com. @192.168.31.67
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19091
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;ns1.aaa.com.			IN	A

;; ANSWER SECTION:
ns1.aaa.com.		86400	IN	A	192.168.35.104

;; AUTHORITY SECTION:
aaa.com.		86400	IN	NS	ns1.aaa.com.
aaa.com.		86400	IN	NS	ns2.aaa.com.

;; ADDITIONAL SECTION:
ns2.aaa.com.		86400	IN	A	192.168.31.21

;; Query time: 2 msec
;; SERVER: 192.168.31.67#53(192.168.31.67)
;; WHEN: Fri Jun 04 04:19:01 EDT 2021
;; MSG SIZE  rcvd: 107

3.排错过程

1.发现问题

将所有配置全部复制到笔记本的vmware环境上.神奇的是用nslookup解析一切正常.

[root@dns01 ~]# nslookup ns1.aaa.com.
Server:		192.168.31.66
Address:	192.168.31.66#53

Non-authoritative answer:
Name:	ns1.aaa.com
Address: 192.168.35.104

正当一头雾水的时候,发现用dig时会多很多信息.
显然是解析了根域和.com.

[root@dns01 ~]# dig ns1.aaa.com.

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> ns1.aaa.com.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49509
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 13, ADDITIONAL: 15

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;ns1.aaa.com.			IN	A

;; ANSWER SECTION:
ns1.aaa.com.		86400	IN	A	192.168.35.104

;; AUTHORITY SECTION:
com.			172798	IN	NS	b.gtld-servers.net.
com.			172798	IN	NS	a.gtld-servers.net.
com.			172798	IN	NS	k.gtld-servers.net.
com.			172798	IN	NS	i.gtld-servers.net.
com.			172798	IN	NS	g.gtld-servers.net.
com.			172798	IN	NS	h.gtld-servers.net.
com.			172798	IN	NS	d.gtld-servers.net.
com.			172798	IN	NS	m.gtld-servers.net.
com.			172798	IN	NS	l.gtld-servers.net.
com.			172798	IN	NS	e.gtld-servers.net.
com.			172798	IN	NS	c.gtld-servers.net.
com.			172798	IN	NS	j.gtld-servers.net.
com.			172798	IN	NS	f.gtld-servers.net.

;; ADDITIONAL SECTION:
a.gtld-servers.net.	172798	IN	A	192.5.6.30
b.gtld-servers.net.	172798	IN	A	192.33.14.30
c.gtld-servers.net.	172798	IN	A	192.26.92.30
d.gtld-servers.net.	172798	IN	A	192.31.80.30
e.gtld-servers.net.	172798	IN	A	192.12.94.30
f.gtld-servers.net.	172798	IN	A	192.35.51.30
g.gtld-servers.net.	172798	IN	A	192.42.93.30
h.gtld-servers.net.	172798	IN	A	192.54.112.30
i.gtld-servers.net.	172798	IN	A	192.43.172.30
j.gtld-servers.net.	172798	IN	A	192.48.79.30
k.gtld-servers.net.	172798	IN	A	192.52.178.30
l.gtld-servers.net.	172798	IN	A	192.41.162.30
m.gtld-servers.net.	172798	IN	A	192.55.83.30
a.gtld-servers.net.	172798	IN	AAAA	2001:503:a83e::2:30

;; Query time: 2674 msec
;; SERVER: 192.168.31.66#53(192.168.31.66)
;; WHEN: Fri Jun 04 04:24:59 EDT 2021
;; MSG SIZE  rcvd: 519

之后所有的解析都正常了.但只要断网后重启named服务,故障又重现了.

2.定位问题

显然是因为匹配到forward后,先走了根域的解析没有直接走forwarders 的地址.
named.rfc1912.zones中关于aaa.com.的配置如下

zone "aaa.com" IN {
	type forward;
	forward only;
	forwarders { 192.168.31.67;};
};

显然这段是没问题的.
找了很多资料最后发现named.conf中有2个参数,可能存在问题.

//	dnssec-enable yes;
//	dnssec-validation yes;

关于dnssec的解释如下:
DNSSEC全称Domain Name System Security Extensions,即DNS安全扩展,是由IETF提供的一系列DNS安全认证的机制(可参考RFC2535)。它提供一种可以验证应答信息真实性和完整性的机制,利用密码技术,使得域名解析服务器可以验证它所收到的应答(包括域名不存在的应答)是否来自于真实的服务器,或者是否在传输过程中被篡改过。

dnssec-enable: 是否支持DNSSEC开关,默认为yes。
dnssec-validation: 是否进行DNSSEC确认开关,默认为no。

3.解决问题

原先是注释了这两个参数,以为named.conf中默认是yes那么注释了后就是no.
万万没想到注释了dnssec-enable其实还是yes
然后把这两行的注释都去掉,改为了no

	dnssec-enable no;
	dnssec-validation no;

刷新后一切恢复正常

[root@dns01 ~]# named-checkconf 
[root@dns01 ~]# rndc reload
server reload successful
[root@dns01 ~]# nslookup ns1.aaa.com.
Server:		192.168.31.66
Address:	192.168.31.66#53

Non-authoritative answer:
Name:	ns1.aaa.com
Address: 192.168.35.104

[root@dns01 ~]# dig ns1.aaa.com.

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> ns1.aaa.com.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 57251
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;ns1.aaa.com.			IN	A

;; ANSWER SECTION:
ns1.aaa.com.		86398	IN	A	192.168.35.104

;; Query time: 0 msec
;; SERVER: 192.168.31.66#53(192.168.31.66)
;; WHEN: Fri Jun 04 04:48:36 EDT 2021
;; MSG SIZE  rcvd: 59

热门文章

暂无图片
编程学习 ·

exe4j详细使用教程(附下载安装链接)

一、exe4j介绍 ​ exe4j是一个帮助你集成Java应用程序到Windows操作环境的java可执行文件生成工具&#xff0c;无论这些应用是用于服务器&#xff0c;还是图形用户界面&#xff08;GUI&#xff09;或命令行的应用程序。如果你想在任务管理器中及Windows XP分组的用户友好任务栏…
暂无图片
编程学习 ·

AUTOSAR从入门到精通100讲(126)-浅谈车载充电系统通信方案

01 引言 本文深入研究车载充电系统策略,设计出一套基于电动汽车电池管理系统与车载充电机的CAN通信协议,可供电动汽车设计人员参考借鉴。 02 电动汽车充电系统通讯网络 电动汽车整车控制系统中采用的是CAN总线通信方式,由一个整车内部高速CAN网络、内部低速CAN网络和一个充电…
暂无图片
编程学习 ·

CMake(九):生成器表达式

当运行CMake时&#xff0c;开发人员倾向于认为它是一个简单的步骤&#xff0c;需要读取项目的CMakeLists.txt文件&#xff0c;并生成相关的特定于生成器的项目文件集(例如Visual Studio解决方案和项目文件&#xff0c;Xcode项目&#xff0c;Unix Makefiles或Ninja输入文件)。然…
暂无图片
编程学习 ·

47.第十章 网络协议和管理配置 -- 网络配置(八)

4.3.3 route 命令 路由表管理命令 路由表主要构成: Destination: 目标网络ID,表示可以到达的目标网络ID,0.0.0.0/0 表示所有未知网络,又称为默认路由,优先级最低Genmask:目标网络对应的netmaskIface: 到达对应网络,应该从当前主机哪个网卡发送出来Gateway: 到达非直连的网络,…
暂无图片
编程学习 ·

元宇宙技术基础

请看图&#xff1a; 1、通过AR、VR等交互技术提升游戏的沉浸感 回顾游戏的发展历程&#xff0c;沉浸感的提升一直是技术突破的主要方向。从《愤怒的小鸟》到CSGO,游戏建模方式从2D到3D的提升使游戏中的物体呈现立体感。玩家在游戏中可以只有切换视角&#xff0c;进而提升沉浸…
暂无图片
编程学习 ·

flink的伪分布式搭建

一 flink的伪分布式搭建 1.1 执行架构图 1.Flink程序需要提交给 Job Client2.Job Client将作业提交给 Job Manager3.Job Manager负责协调资源分配和作业执行。 资源分配完成后&#xff0c;任务将提交给相应的 Task Manage。4.Task Manager启动一个线程以开始执行。Task Manage…
暂无图片
编程学习 ·

十进制正整数与二进制字符串的转换(C++)

Function one&#xff1a; //十进制数字转成二进制字符串 string Binary(int x) {string s "";while(x){if(x % 2 0) s 0 s;else s 1 s;x / 2;}return s; } Function two&#xff1a; //二进制字符串变为十进制数字 int Decimal(string s) {int num 0, …
暂无图片
编程学习 ·

[含lw+源码等]微信小程序校园辩论管理平台+后台管理系统[包运行成功]Java毕业设计计算机毕设

项目功能简介: 《微信小程序校园辩论管理平台后台管理系统》该项目含有源码、论文等资料、配套开发软件、软件安装教程、项目发布教程等 本系统包含微信小程序做的辩论管理前台和Java做的后台管理系统&#xff1a; 微信小程序——辩论管理前台涉及技术&#xff1a;WXML 和 WXS…
暂无图片
编程学习 ·

树莓派驱动DHT11温湿度传感器

1&#xff0c;直接使用python库 代码如下 import RPi.GPIO as GPIO import dht11 import time import datetimeGPIO.setwarnings(True) GPIO.setmode(GPIO.BCM)instance dht11.DHT11(pin14)try:while True:result instance.read()if result.is_valid():print(ok)print(&quo…
暂无图片
编程学习 ·

ELK简介

ELK简介 ELK是三个开源软件的缩写&#xff0c;Elasticsearch、Logstash、Kibana。它们都是开源软件。不过现在还新增了一个 Beats&#xff0c;它是一个轻量级的日志收集处理工具(Agent)&#xff0c;Beats 占用资源少&#xff0c;适合于在各个服务器上搜集日志后传输给 Logstas…
暂无图片
编程学习 ·

Linux 基础

通常大数据框架都部署在 Linux 服务器上&#xff0c;所以需要具备一定的 Linux 知识。Linux 书籍当中比较著名的是 《鸟哥私房菜》系列&#xff0c;这个系列很全面也很经典。但如果你希望能够快速地入门&#xff0c;这里推荐《Linux 就该这么学》&#xff0c;其网站上有免费的电…
暂无图片
编程学习 ·

Windows2022 无线网卡装不上驱动

想来 Windows2022 和 windows10/11 的驱动应该差不多通用的&#xff0c;但是死活装不上呢&#xff1f; 搜一下&#xff0c;有人提到 “默认安装时‘无线LAN服务’是关闭的&#xff0c;如果需要开启&#xff0c;只需要在“添加角色和功能”中&#xff0c;选择开启“无线LAN服务…
暂无图片
编程学习 ·

【嵌入式面试宝典】版本控制工具Git常用命令总结

目录 创建仓库 查看信息 版本回退 版本检出 远程库 Git 创建仓库 git initgit add <file> 可反复多次使用&#xff0c;添加多个文件git commit -m <message> 查看信息 git status 仓库当前的状态git diff 差异对比git log 历史记录&#xff0c;提交日志--pret…
暂无图片
编程学习 ·

用Postman生成测试报告

newman newman是一款基于nodejs开发的可以运行postman脚本的工具&#xff0c;使用Newman&#xff0c;可以直接从命令运行和测试postman集合。 安装nodejs 下载地址&#xff1a;https://nodejs.org/en/download/ 选择自己系统相对应的版本内容进行下载&#xff0c;然后傻瓜式安…
暂无图片
编程学习 ·

Java面向对象之多态、向上转型和向下转型

文章目录前言一、多态二、引用类型之间的转换Ⅰ.向上转型Ⅱ.向下转型总结前言 今天继续Java面向对象的学习&#xff0c;学习面向对象的第三大特征&#xff1a;多态&#xff0c;了解多态的意义&#xff0c;以及两种引用类型之间的转换&#xff1a;向上转型、向下转型。  希望能…