[莫名其妙]电信网通的DNS互解问题

alexleft

这个问题困扰我很长时间了，上来和大家讨论一下，先让我介绍一下情况。

我们公司用网通的线路，分配到一段IP地址(221.4.216.248/29)，出于节省资源和安全考虑，我们把dns和mail server都放在自己公司了。

DNS使用win2003来做，Nameserver注册过，有主有副，也有反解，应该算比较标准了。只是两台nameserver都是一个C类的IP，但也不知道是不是这个原因，偏偏就要出问题。

其他ISP的用户经常(99%都是电信用户)都无法解释mail.civet.com.cn这个域名(其实整个civet.com.cn域都如此)，用户投诉很多，但是每次投诉的时候，我用PCCW、UNICOM、YAHOO的线路来检测都是可以正常访问的。由于某种原因，我这辈子都没有用过中国电信的网络，所以没法找到结症所在。直到今天，我去到珠海一个用ADSL的朋友家里，用他的网络做相应的检测。

该ADSL的用户连接成功后分配到两个dns:202.96.128.143和202.96.128.86
用nslookup解释其他域名均正常，但是解释mail.civet.com.cn结果总是timeout,无论解释多少次结果都是一样。
使用set debug指令后，发现dns根本就没有对我的请求进行回答。指定的两个dns结果都是一样。在公司的线路tracertroute这两个dns都是通的，问我的ISP也说没有针对这段地址做过路由策略。我想不明白，大概中国电信也应该不会block掉网通的地址吧？

麻烦大家帮我分析一下，究竟是我的dns架设有问题还是什么其他原因，有什么解决的好办法，我在这里先谢大家了！

以下这个是我们公司的域名的分析报告：
http://www.dnsreport.com/tools/dnsreport.ch?domain=civet.com.cn

butterfly_lf

202.96.128.143不支持递归的，原因在此~~~~~
你的记录应该没问题~~~

bingosek

可以解析出来呀
[root@dns1 master]# dig  @202.96.128.143 mail.civet.com.cn +trace

; <<>> DiG 9.2.4 <<>> @202.96.128.143 mail.civet.com.cn +trace
;; global options:  printcmd
.                       516926  IN      NS      c.root-servers.net.
.                       516926  IN      NS      d.root-servers.net.
.                       516926  IN      NS      e.root-servers.net.
.                       516926  IN      NS      f.root-servers.net.
.                       516926  IN      NS      g.root-servers.net.
.                       516926  IN      NS      h.root-servers.net.
.                       516926  IN      NS      i.root-servers.net.
.                       516926  IN      NS      j.root-servers.net.
.                       516926  IN      NS      k.root-servers.net.
.                       516926  IN      NS      l.root-servers.net.
.                       516926  IN      NS      m.root-servers.net.
.                       516926  IN      NS      a.root-servers.net.
.                       516926  IN      NS      b.root-servers.net.
;; Received 244 bytes from 202.96.128.143#53(202.96.128.143) in 7 ms

cn.                     172800  IN      NS      A.DNS.cn.
cn.                     172800  IN      NS      NS.CERNET.NET.
cn.                     172800  IN      NS      B.DNS.cn.
cn.                     172800  IN      NS      C.DNS.cn.
cn.                     172800  IN      NS      D.DNS.cn.
cn.                     172800  IN      NS      E.DNS.cn.
;; Received 298 bytes from 192.33.4.12#53(c.root-servers.net) in 288 ms

civet.com.cn.           21600   IN      NS      ns1.civet.com.cn.
civet.com.cn.           21600   IN      NS      ns2.civet.com.cn.
;; Received 103 bytes from 203.119.25.1#53(A.DNS.cn) in 35 ms

mail.civet.com.cn.      43200   IN      A       221.4.216.251
;; Received 51 bytes from 221.4.216.251#53(ns1.civet.com.cn) in 271 ms

alexleft

事实上，几乎珠海所有使用电信的用户都无法正常访问civet.com.cn的域，现在已经过了0:18了，3分钟前还有人打电话给我求助。睡觉都没得好好睡，快崩溃了。

diancn

感觉是ADSL用户得到的这两个dns(202.96.128.143和202.96.128.86),至少前者,不能稳定地访问你的两台服务器(ns1.civet.com.cn/221.4.216.251,ns2.civet.com.cn/221.4.216.252)。

检查你的服务器，是否有这2个DNS来的请求。

不过现在可以dig到结果。

1. 
   
2. # dig @202.96.128.86 mail.civet.com.cn a
   
3. 
   
4. ; <<>> DiG 9.2.3 <<>> @202.96.128.86 mail.civet.com.cn a
   
5. ;; global options:  printcmd
   
6. ;; Got answer:
   
7. ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31812
   
8. ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0
   
9. 
   
10. ;; QUESTION SECTION:
    
11. ;mail.civet.com.cn.             IN      A
    
12. 
    
13. ;; ANSWER SECTION:
    
14. mail.civet.com.cn.      43002   IN      A       221.4.216.251
    
15. 
    
16. ;; AUTHORITY SECTION:
    
17. civet.com.cn.           8830    IN      NS      ns2.civet.com.cn.
    
18. civet.com.cn.           8830    IN      NS      ns1.civet.com.cn.
    
19. 
    
20. ;; Query time: 3 msec
    
21. ;; SERVER: 202.96.128.86#53(202.96.128.86)
    
22. ;; WHEN: Wed Aug 16 11:06:31 2006
    
23. ;; MSG SIZE  rcvd: 87
    
24. 
    
25. # dig @202.96.128.143 mail.civet.com.cn a
    
26. 
    
27. ; <<>> DiG 9.2.3 <<>> @202.96.128.143 mail.civet.com.cn a
    
28. ;; global options:  printcmd
    
29. ;; Got answer:
    
30. ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14279
    
31. ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0
    
32. 
    
33. ;; QUESTION SECTION:
    
34. ;mail.civet.com.cn.             IN      A
    
35. 
    
36. ;; ANSWER SECTION:
    
37. mail.civet.com.cn.      43200   IN      A       221.4.216.251
    
38. 
    
39. ;; AUTHORITY SECTION:
    
40. civet.com.cn.           19868   IN      NS      ns2.civet.com.cn.
    
41. civet.com.cn.           19868   IN      NS      ns1.civet.com.cn.
    
42. 
    
43. ;; Query time: 451 msec
    
44. ;; SERVER: 202.96.128.143#53(202.96.128.143)
    
45. ;; WHEN: Wed Aug 16 11:07:54 2006
    
46. ;; MSG SIZE  rcvd: 87
    

复制代码

也许你可以试试在中国电信建一个辅服务器。(找个稳定的DNS，同步你的域，再申请修改授权即可。)

另外，202.96.128.143和202.96.128.86对部份IP是开了递归解析的。
带+trace选项可能不是象预想的那样工作。

alexleft

无奈，仍然无法解决，不过发现一下新东西。


直接Dig,202.96.128.143不响应。应该是不支持递归的问题吧？

C:\dig>dig @202.96.128.143 mail.civet.com.cn

; <<>> DiG 9.3.2 <<>> @202.96.128.143 mail.civet.com.cn
; (1 server found)
;; global options:  printcmd
;; connection timed out; no servers could be reached

跟踪一下，有结果返回，但是因为是本地网络，所以返回的是私用地址，公网没有这种情况:

C:\dig>dig @202.96.128.143 mail.civet.com.cn +trace

; <<>> DiG 9.3.2 <<>> @202.96.128.143 mail.civet.com.cn +trace
; (1 server found)
;; global options:  printcmd
.                       516935  IN      NS      H.ROOT-SERVERS.NET.
.                       516935  IN      NS      I.ROOT-SERVERS.NET.
.                       516935  IN      NS      J.ROOT-SERVERS.NET.
.                       516935  IN      NS      K.ROOT-SERVERS.NET.
.                       516935  IN      NS      L.ROOT-SERVERS.NET.
.                       516935  IN      NS      M.ROOT-SERVERS.NET.
.                       516935  IN      NS      A.ROOT-SERVERS.NET.
.                       516935  IN      NS      B.ROOT-SERVERS.NET.
.                       516935  IN      NS      C.ROOT-SERVERS.NET.
.                       516935  IN      NS      D.ROOT-SERVERS.NET.
.                       516935  IN      NS      E.ROOT-SERVERS.NET.
.                       516935  IN      NS      F.ROOT-SERVERS.NET.
.                       516935  IN      NS      G.ROOT-SERVERS.NET.
;; Received 244 bytes from 202.96.128.143#53(202.96.128.143) in 299 ms

cn.                     172800  IN      NS      a.dns.cn.
cn.                     172800  IN      NS      ns.cernet.net.
cn.                     172800  IN      NS      b.dns.cn.
cn.                     172800  IN      NS      c.dns.cn.
cn.                     172800  IN      NS      d.dns.cn.
cn.                     172800  IN      NS      e.dns.cn.
;; Received 298 bytes from 128.63.2.53#53(H.ROOT-SERVERS.NET) in 583 ms

civet.com.cn.           21600   IN      NS      ns2.civet.com.cn.
civet.com.cn.           21600   IN      NS      ns1.civet.com.cn.
;; Received 103 bytes from 203.119.25.1#53(a.dns.cn) in 94 ms

mail.civet.com.cn.      43200   IN      A       221.4.216.251
;; Received 51 bytes from 192.168.100.21#53(ns2.civet.com.cn) in 0 ms

但是用nslookup,死活没法建立有效的dns查询：

C:\dig>nslookup
Default Server:  ns3.cnc-gd.net
Address:  221.4.8.1

> server 202.96.128.143
Default Server:  ns.guangzhou.gd.cn
Address:  202.96.128.143

> set debug
> mail.civet.com.cn
Server:  ns.guangzhou.gd.cn
Address:  202.96.128.143

DNS request timed out.
    timeout was 2 seconds.
timeout (2 secs)
DNS request timed out.
    timeout was 2 seconds.
timeout (2 secs)
*** Request to ns.guangzhou.gd.cn timed-out
>

Dig完以后，查看防火墙记录，没有发现从202.96.128.143发出的连接，但是有从202.106.196.21x查询dns的记录。那202.96.128.134其实应该是支持递归查询的。因为我认为来自202.106.196.21x的dns查询是由202.96.128.143引发的。

越搞越复杂了。为什么nslookup不行？