正常挖掘的DNS SERVFAIL错误，但与+；追踪_Dns_Dnssec

正常挖掘的DNS SERVFAIL错误，但与+；追踪

dns

正常挖掘的DNS SERVFAIL错误，但与+；追踪,dns,dnssec,Dns,Dnssec,我已在权威DNS服务器上配置了一个新区域（IDN域），但它不起作用，当我尝试使用DIG命令进行故障诊断时，我收到“SERVFAIL” dig.exe@8.8.8.8 xn--mgba6g.xn--ngbsg9e a )；挖掘9.12.3@8.8.8 xn----zmcaaaqc9f5a4icedb.xn----mgberp4a5d4ar a ; （找到1台服务器） ;; 全局选项：+cmd ;; 得到答案： ;; ->>标头--ngbsg9e不是有效的TLD，它不显示在的IANA根列表中 @和+

我已在权威DNS服务器上配置了一个新区域（IDN域），但它不起作用，当我尝试使用DIG命令进行故障诊断时，我收到“SERVFAIL”

dig.exe@8.8.8.8 xn--mgba6g.xn--ngbsg9e a )；挖掘9.12.3@8.8.8 xn----zmcaaaqc9f5a4icedb.xn----mgberp4a5d4ar a ; （找到1台服务器） ;; 全局选项：+cmd ;; 得到答案： ;; ->>标头--ngbsg9e不是有效的TLD，它不显示在的IANA根列表中

和

+trace

是互斥的：使用

+trace

dig将从根名称服务器开始，因此忽略

选项

无论是否使用

+trace

dig，都将为此域提供

NXDOMAIN

，因为其TLD不存在。如果您得到任何其他类型的结果，这意味着您的网络上的某些内容正在与DNS数据包发生冲突，并且类似于重写NXDOMAIN以指向某个通配符主机

显示您的完整回复

我的建议是：

$ dig @8.8.8.8 xn--mgba6g.xn--ngbsg9e a

; <<>> DiG 9.12.0 <<>> @8.8.8.8 xn--mgba6g.xn--ngbsg9e a
; (1 server found)
;; global options: +cmd
;; Sending:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5105
;; flags: rd ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: a6e60ed1fe2c4eef
;; QUESTION SECTION:
;xn--mgba6g.xn--ngbsg9e.    IN A

;; QUERY SIZE: 63

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 5105
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;xn--mgba6g.xn--ngbsg9e.    IN A

;; AUTHORITY SECTION:
.           23h59m59s IN SOA a.root-servers.net. nstld.verisign-grs.com. (
                2019021400 ; serial
                1800       ; refresh (30 minutes)
                900        ; retry (15 minutes)
                604800     ; expire (1 week)
                86400      ; minimum (1 day)
                )

;; Query time: 122 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu Feb 14 09:33:50 EST 2019
;; MSG SIZE  rcvd: 126

但询问这两个名称服务器：

```
nslab1.saudi.net.sa
```
似乎根本没有回复

另一个给出：

xn----zmcaaaqc9f5a4icedb.xn----mgberp4a5d4ar。NS nslab1.saudi.net.sa中有500万个。

（只有一个NS，不是两个）

因此，您需要修复名称服务器及其服务的内容

此外，您还有DNSSEC问题，在父级发布的DS密钥与您所在区域的任何DNSKEY都不对应：

$ dig @n.nic.net.sa xn----zmcaaaqc9f5a4icedb.xn--mgberp4a5d4ar DS +multi

; <<>> DiG 9.12.0 <<>> @n.nic.net.sa xn----zmcaaaqc9f5a4icedb.xn--mgberp4a5d4ar DS +multi

[..]

;; ANSWER SECTION:
xn----zmcaaaqc9f5a4icedb.xn--mgberp4a5d4ar. 1h IN DS 23364 7 1 (
                42774D487FB256B3A9DBC9B1ACDBF128F0773C22 )

$dig@n.nic.net.sa xn----zmcaaaqc9f5a4icedb.xn----mgberp4a5d4ar DS+multi
;  DiG 9.12.0@n.nic.net.sa xn----zmcaaaqc9f5a4icedb.xn----mgberp4a5d4ar DS+multi
[..]
;; 答覆部分：
xn----zmcaaaqc9f5a4icedb.xn----mgberp4a5d4ar。DS 23364 7 1中的1h(
42774D487FB256B3A9DBC9B1ACDBF128F0773C22）

但是：

$dig@nslab2.saudi.net.sa xn----zmcaaaqc9f5a4icedb.xn--mgberp4a5d4ar DNSKEY

给出了

无错误

，但没有数据，这意味着您所在区域没有DNSKEY记录

您首先需要删除父级的DS记录，这只会妨碍您以正常方式恢复DNS的工作

PS:

8.8.8.8

不是世界上唯一的公共名称服务器，请也使用其他名称服务器（或更好的本地名称服务器！），如

1.1.1

或

9.9.9

或

80.80.80

或

64.6.64.6

，谢谢Patrick，如果身份验证DNS中不匹配或不存在DS，是否会导致SRVFAIL问题？，我假设它在没有DNSSEC的情况下进入正常的DNS过程，没有DNSSEC相关的问题，您仍然有一个跛脚的委派，因为您的父区域列出了两个名称服务器，其中一个没有应答，另一个只列出一个名称服务器，而不是两个。您需要在您的区域和父级中列出相同的名称服务器，它们都应该回复并给出相同的答案。您可以使用在线工具Zonemaster和DNSViz对DNS配置进行故障排除。

$ dig @n.nic.net.sa xn----zmcaaaqc9f5a4icedb.xn--mgberp4a5d4ar DS +multi

; <<>> DiG 9.12.0 <<>> @n.nic.net.sa xn----zmcaaaqc9f5a4icedb.xn--mgberp4a5d4ar DS +multi

[..]

;; ANSWER SECTION:
xn----zmcaaaqc9f5a4icedb.xn--mgberp4a5d4ar. 1h IN DS 23364 7 1 (
                42774D487FB256B3A9DBC9B1ACDBF128F0773C22 )