Вопрос: Почему DNS-сервер не может разрешить какой-либо домен, заканчивающийся на .io?


У меня есть два контроллера домена Windows.

10.10.10.10 Первичный (победа 2008 г2)
10.10.10.20 Реплика (победа 2012 г2)

Второй - как реплика первой.

Примерно один раз в неделю первичный DC будет отрицательно кэшировать большинство  .io домены. Это делает его таким, что никто в компании не может получить доступ к таким сайтам, как:

chef.io
packer.io
yahoo.io
github.io

Странно, я все еще могу получить доступ к некоторым страницам .io, например, к github.io

spuder.github.io/

Решение заключается в RDP на DNS-сервер и выполняется dnscmd /clearcache, Это устраняет проблему в течение 7-10 дней.

Дополнительные симптомы

  • Только влияет на основной контроллер домена (вторичный и другие контроллеры домена могут разрешать эти сайты просто отлично)
  • Серверы google dns также работают
  • Обычно происходит примерно в 11 утра по средам.

Я не очень хорошо знаком с окнами, но вот что я пробовал

  • Посмотрите на журналы, я вижу только следующие строки, которые выглядят интересными

8:15AM
The DNS server wrote version 4638 of zone 254.10.in-addr.arpa to file 254.10.in-addr.arpa.dns..in-addr.arpa to file 254.10.in-addr.arpa.dns.

8:16AM
A more recent version, version 4639 of zone 254.10.in-addr.arpa was found at the DNS server at 10.254.40.51. Zone transfer is in progress.ic replication between domain controllers in a common domain or forest. By installing multiple domain controllers in a domain running DNS Server, you can ensure that DNS will continue to work when a domain co
  • Проверьте, нет ли зон прямого и обратного просмотра для домена .io
  • Убедитесь, что в файле hosts нет ничего, блокирующего домен .io
  • Сравните результаты ipconfig /displaydns на всех контроллерах домена

Есть ли что-нибудь еще, что я могу исследовать, чтобы узнать, почему кеш-нс постоянно становится коррумпированным настолько предсказуемым? Есть ли параметр dns для Windows, который может принудительно сбросить кеш при выполнении трансакции зоны

Обновить
Я сузил это до того, что я часто переключался с проводного на беспроводное прямо перед встречей в среду. В беспроводной сети есть 1 сервер DNS dns 2008 и один сервер dns 2012 windows. Когда сервер 2008 выбран как первичный, проблема возвращается. Обходной путь - запустить этот dnscmd /clearcache, Поскольку сервер 2008 года уходит, я уверен, что эта проблема будет исправлена.


6
2017-07-17 19:09


Источник


Это ужасно специфично. Это похоже на данные сервера имен для io TLD получает clobbered, или восходящее сетевое устройство, которое не делится с вторичным DC, идет из строя из-за глубоких политик проверки пакетов. Убедитесь, что на основном ЦП нет зон, которые могли бы помешать восходящим серверам имен для этого TLD. (., io, net, ac, uk, co.uk, ns13.net, nic.io, nic.ac, icb.co.uk, communitydns.net) Звучит глупо, но люди иногда делают очень странные вещи, пытаясь использовать свой DC в качестве DNS-брандмауэра. - Andrew B
Другое дело - проверить, как ваши DNS-серверы выполняют нелокальные запросы. Для каждого из ваших DNS-серверов проверьте настройки для Forwarders и Root Hints. Если вы используете отфильтрованный форвардер, а другой - это не проблема. В качестве альтернативы, если у вас есть только один форвардер и неполный набор корневых советов, у вас могут возникнуть проблемы с этим. - Mark
Что еще в вашей системе происходит в 11 утра по средам, что может заставить сервер не искать эти домены (и кэшировать сбой)? - Calle Dybedahl
поэтому проблема на клиенте, некоторые домены * .io вообще не разрешены, пока вы не очистите кеш? Если вы заходите на консоль DNS, отображает ли консольный GUI правильные IP-адреса для этих имен в кеше? - strongline
Ваш DNS-сервер настроен на использование пересылок? - Mike Marseglia


Ответы: