to post messages and comments.

товагищи авторы OTP как нефиг делать берут и заворачивают {error, try_again} от "нативного" порта для DNS в {error, nxdomain} — какой-то "let it crash так чтоб никто не догадался"

Я уже несколько лет прошу регистраторов доменов RU/РФ реализовать поддержку DNSSEC в API. На сегодняшний день я не знаю ни одного такого регистратора (именно RU/РФ). Я изучил вопрос и понял, что регистраторы не понимают объём работ, а нормальной разъяснительной документации не то что на русском, да и на английском нет. Есть нудные спецификации c перекрестными ссылками, на которых можно уснуть. Неплохие статьи есть у замечательного сервиса CloudFlare. Но они специфичны для CloudFlare и не раскрывают например части работы с регистратором (и некоторые другие, впрочем).

Я решил сделать мир лучше и подготовил руководство по DNSSEC для регистраторов доменов. Это руководство выполнено в стиле презентации для лучшего восприятия. Однако его можно использовать и как краткий справочник. В нём собраны только те части технологии, которые касаются регистратора домена. Подробно всё разложено по полочкам, даны рекомендации, примеры кода и дополнительные факультативные сведения. Руководство подходит не только для доменов RU/РФ, но и для всех остальных.

slideshare.net

DNS

Смотрите. Вот у вас машина и рекурсивный DNS. Вы только их включили. Кэши чистые. Вы пингуете с машины... ммм... www.diphost.ru <diphost.ru>. Можете описать кто кого что спрашивает, кто кому что отвечает и по какому алгоритму до получения IP-адреса машиной? Спорим — почти никто без специального гугления не ответит?

Обновил давно работающий у себя dnscrypt-proxy. Из доступных серверов не так много поддерживающих DNSSEC.

Про участие Яндекса не понял, типа и логи ведём, и даже dnssec не поддерживаем, ну и нахуй вы вообще нужны тогда?

Четыре инстанса: dnscrypt.eu-dk, ipredator, cloudns-syd, ns0.dnscrypt.is и unbound сверху.

Все на 443 портах, 53 наружу вообще заблокирован. Ибо нех. -> dnscrypt.org

Попытался запахать Deadwood из состава MaraDNS. Два года назад работал же. Сейчас — ноль. Порт слушаем, запрос принимаем и тишина. Отадочной информации нет. Потыкав вяло в strace выпилил к херам и воткнул dnsmasq. Разочарован, блин. 4 года работы с аптаймом в 300-400 дён. И тут такое.

"Здравствуйте. Спасибо за Ваше сообщение. К сожалению, в связи с реорганизацией склада, поступление заказов на филиалы задерживается Новость о временных трудностях опубликована на нашем сайте dns-shop.ru Ориентировочная дата поступления Вашего заказа до 27.10. Как только товар поступит на филиал выдачи, Вам придет смс-уведомление "

ну вы понели

% nslookup github.com
;; Got SERVFAIL reply from 8.8.8.8, trying next server
Server:         127.0.0.1
Address:        127.0.0.1#53

** server can't find github.com: SERVFAIL

Регуряно испытваю проблемы с днс, в чем может быть проблема? Сначал думал на нетворкманагер, но Got SERVFAIL reply from 8.8.8.8, это вообще возможно?

у dns написано, что доставка в пункт выдачи три дня и походу будет три дня и ни секундой меньше.В пределах одного города, пары станций метро везти товары три дня...

Манчкин был заказан в dns и теперь ожидается смс о поступлении. Это шанс у dns оправдаться в моих глазах. Правда оплатила заранее, во избежание повторения ситуации из прошлого похода.
Манчкина потребовало дите.

у rutracker умерли сервера имен

dig SOA rutracker.org +trace

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6_7.7 <<>> SOA rutracker.org +trace
;; global options: +cmd
.                       15439   IN      NS      e.root-servers.net.
.                       15439   IN      NS      a.root-servers.net.
.                       15439   IN      NS      i.root-servers.net.
.                       15439   IN      NS      b.root-servers.net.
.                       15439   IN      NS      h.root-servers.net.
.                       15439   IN      NS      j.root-servers.net.
.                       15439   IN      NS      g.root-servers.net.
.                       15439   IN      NS      c.root-servers.net.
.                       15439   IN      NS      d.root-servers.net.
.                       15439   IN      NS      f.root-servers.net.
.                       15439   IN      NS      l.root-servers.net.
.                       15439   IN      NS      m.root-servers.net.
.                       15439   IN      NS      k.root-servers.net.
;; Received 228 bytes from 8.8.8.8#53(8.8.8.8) in 88 ms

org.                    172800  IN      NS      a0.org.afilias-nst.info.
org.                    172800  IN      NS      d0.org.afilias-nst.org.
org.                    172800  IN      NS      b0.org.afilias-nst.org.
org.                    172800  IN      NS      c0.org.afilias-nst.info.
org.                    172800  IN      NS      b2.org.afilias-nst.org.
org.                    172800  IN      NS      a2.org.afilias-nst.info.
;; Received 433 bytes from 192.228.79.201#53(192.228.79.201) in 191 ms

rutracker.org.          86400   IN      NS      ns1.rutracker.org.
rutracker.org.          86400   IN      NS      ns2.rutracker.org.
dig: couldn't get address for 'ns1.rutracker.org': no more

Капец. Перевернул ввер хном все настройки, включил чуть ли не отладочные логи чтобы в итоге выяснить что тормозит ... dns.
2 ip на 1 хост и при обращении к хосту тормоза через раз...

Создаю две зоны в DNS сервисе Azure. Один домен работает нормально, второй — не отдает NS записи. Час ломаю голову, ищу причину, всё бесполезно. Плюю на всё, экспортирую зону в файл, удаляю всё подчистую, импортирую зону из файла (ничего не меняя) — работает! Всё в лучших традициях Windows 95! :)
P.S. Linux cервер в Azure, тем не менее, работает без проблем и нареканий.

DNS

А есть какой-нибудь сервис, который проверяет DNS-сервера и зону на них? Типа вот тут какой-нибудь тайминг не настроет, тут версия DNS-севрера с багом, несовместимая с чем-то. Я тут начал регулярно ловить проблему "у меня говорит, что домена нет" от клиентов, но не могу понять в каком месте лажа, не могу воспроизвести. Чисто гипотетически это может быть связано с переходом моих DNS с BIND на NSD

DNS

А передача зоны AXFR реально проблема на больших конфигурациях? Или это проблема крайне специфичных случаев? Мне поддержка IXFR кажется более сложной и ведущей к косякам, багам и неожиданностям

DNS

2015 год на дворе. ни один DNS-сервер не умеет нормально провизионинг делать. BIND эксперементально и без темплейтов, NSD только темплейтами, knot... knot конфиг перечитывает

DNS

Ну что за эпидерсия, 2015 год, ни один нормальный DNS-сервер нормально не документирован. Вообще не один. С bind всегда сидишь гадаешь, что именно делает каждая из 1000 опций и какие подпорки понадобятся. NSD/Knot на уровне основного README светят рудиментами 10-летней давности

DNS

в дополнение к #2785608
вот что сегодня пришло:

К сожалению, в результате технической ошибки вы получили письмо, предназначенное для пользователей, которые не соблюдают правила о контактных данных администратора домена. Примите, пожалуйста, наши извинения. Мы постараемся, чтобы в будущем такие ситуации не повторялись.

В вашем случае все требования выполнены — и мы признательны вам за это. Однако ваши данные находятся в открытом доступе
В качестве извинения мы предлагаем вам скидку 90% на услугу «Защита контактных данных»

збс чо, ща whois privacy включу тогда

DNS

из ру-центра письмо пришло, что домены мои, в том числе .me, могут быть заблокированны, и что должна быть реальная инфа во WHOIS.
а у меня там действительно только мыло реальное (и то потому что пару лет назад ввели какое-то правило), и имя. а остальное фейк.
насколько это серьезно, правда заблочат?

Вынуждено переносил на сутки mail-сервер и соответственно менял у хостера (RU-CENTER) NS-записи. Сразу после смены повалился спам, которого отродясь не было. Вернул старые записи — спам остался. Как-то так.