Бizarre проблема установки в отношении конкретного доменного имени

Всем привет!

У меня возникла странная проблема при настройке новой установки. Мы переезжаем с хостинга на собственную установку и используем домен www.pidforum.org. Я развернул сервер Ubuntu и использую стандартную процедуру установки. Домен сейчас указывает на IP-адрес сервера, и для записей @, * и www установлены A-записи.

Кажется, что установка проходит без сбоев… всё выглядит рабочим. Первоначальная проверка домена говорит, что всё в порядке, установка продолжается и завершается. Но она не работает. Сервер не слушает порты 443 или 80, и когда я запускаю discourse doctor, он показывает:

Версия Discourse на www.pidforum.org: НЕ НАЙДЕНА
Версия Discourse на localhost: НЕ НАЙДЕНА

А теперь самое странное… если я повторю настройку discourse-setup и изменю ТОЛЬКО имя домена на другой домен, которым я владею (discourse.xxxxxxx.yyy), всё работает отлично. Всё остальное одинаково… тот же сервер, всё то же самое, меняется ТОЛЬКО имя домена.

Что может быть причиной этого? Помогите, я схожу с ума, пытаясь разобраться.

Вы уверены, что DNS-записи настроены правильно? Когда я проверяю отсюда, ни один из адресов не разрешается:

~ ❯ host www.pidforum.org
Host www.pidforum.org not found: 2(SERVFAIL)
~ ❯ host pidforum.org 
Host pidforum.org not found: 2(SERVFAIL)

Я могу отправить ping

image600×300 3.95 KB

Возможно, стоит подождать, пока обновятся DNS-записи.

Да, ваши DNS-записи ещё не обновлены. Поэтому вам нужно подождать.

image1291×671 80.1 KB

На всякий случай: с момента внесения каких-либо изменений в DNS прошло уже не менее 36 часов. Эти сбои носят устойчивый характер.

Посмотрите, пожалуйста, значение TTL в ваших DNS-записях. Возможно, оно установлено слишком высоко.

Наверное, просто настройте их как стандартные A-записи для @ и www, указывающие на IP-адрес, а затем добавьте запись * как CNAME, указывающую на www.

TTL установлены на 600 именно по этой причине.

Я возился с этим с четверга прошлой недели… всё больше думаю, что дело именно в доменном имени, но это вообще не имеет смысла (и, кстати, для этого нет эффективных шагов по устранению неполадок).

Есть ли что-то, что я могу протестировать или попробовать, чтобы сузить круг проблем? Я уверенный сисадмин, но это заставляет меня сомневаться в своей жизни.

Ваш NS установлен на DO. Возможно, стоит обратиться в службу поддержки DO?

Вы недавно изменили свой nameserver на Digital Ocean? Похоже, что для pidforum.org включен DNSSEC, но nameserver-ы Digital Ocean не возвращают никаких подписей. Следовательно, DNS-серверы, такие как 8.8.8.8, обнаруживают разрыв цепочки доверия и отказываются возвращать записи.

Вы можете получить дополнительную информацию с помощью таких инструментов, как:

https://dnsviz.net/d/pidforum.org/dnssec/
https://zonemaster.iis.se/en/?resultid=ab6652c87db6b5f9

Если вы хотите отключить или изменить DNSSEC, вы можете сделать это через вашего регистратора доменных имен.

(спасибо @supermathie за подсказку по DNSSEC — я раньше не изучал эту тему)

Хорошо, ситуация с DNSSEC довольно странная, и мне тоже никогда не приходилось с этим сталкиваться, так что спасибо за подсказку.

Я попытался упростить задачу, исключив из уравнения перенаправление через имена серверов Digital Ocean, и теперь использую Network Solutions одновременно и как регистратора, и как сервер имен, чтобы устранить возможные ошибки и проблемы. Это сейчас распространяется (но я уже тестировал такую конфигурацию, и она тоже не работает, хотя причины мне непонятны).

Я проверю настройки DNSSEC, когда изменения серверов имен полностью вступят в силу. Но я склонен думать, что есть и другие проблемы.

Ваш домен все еще ищет DNSSEC

image1282×584 19.9 KB

Свяжитесь с вашим регистратором и попросите отключить SecureDNS.

Я подтвердил у своего регистратора, что они не используют DNSSEC. Я в полном недоумении, что здесь происходит.

И они ничем не помогли.

Собираюсь попробовать переехать на другой хостинг (с MediaTemple на Digital Ocean) и посмотреть, перейдут ли ошибки DNSSEC вместе со мной.

Screen Shot 2021-09-14 at 1.57.28 PM1289×270 48.9 KB

У кого-нибудь есть идея, что такое 199.19.56.1? Почему он вообще есть в этом цикле ответа? Это не мой сервер…

После проведения исследования выяснилось, что DS-запись необходимо удалить из вашего домена.

image1059×321 5.36 KB

Компания Network Solutions заверила меня, что DNSSEC отключен, и в панели управления моего домена нет интерфейса для добавления или удаления DS-записи.

Спасибо, что помогли разобраться, но я совершенно не понимаю, где именно она находится.

Вы случайно не используете Cloudflare?

image1109×343 4.02 KB

Я не знаю, но друг только что предложил мне перенести туда свой DNS, чтобы у меня был контроль над DNSSEC.