大家好!
我在设置新安装时遇到了一个奇怪的问题。我们正从托管服务迁移到自建托管,使用的域名是 www.pidforum.org。我已经启动了一台 Ubuntu 服务器,并采用了标准安装流程。目前该域名已通过 A 记录指向服务器 IP,同时 @、* 和 www 均已配置。
安装过程看似顺利,一切看起来都正常。初始域名检查显示通过,安装继续并完成。但实际无法使用。服务器未在 443 或 80 端口监听,运行 discourse doctor 后显示:
Discourse version at www.pidforum.org: NOT FOUND
Discourse version at localhost: NOT FOUND
奇怪的是……如果我重新运行 discourse-setup,仅将域名更改为我控制的另一个域名(discourse.xxxxxxx.yyy),一切就正常了。其他所有配置都完全相同——同一台服务器、所有其他设置都一样,唯一改变的只是域名。
这可能是什么原因导致的?请帮帮我,我快被这个问题逼疯了。
您确定 DNS 记录配置正确吗?我从这边检查时,两个地址都无法解析:
~ ❯ host www.pidforum.org
Host www.pidforum.org not found: 2(SERVFAIL)
~ ❯ host pidforum.org
Host pidforum.org not found: 2(SERVFAIL)
仅供参考:自我对DNS进行任何更改以来,至少已经过去了36小时。这些故障持续存在。
嗯,检查一下你的 DNS TTL 设置,那个值可能设得太高了。
可以肯定,只需将它们设置为指向该 IP 的标准 @ 和 www A 记录,然后将 * 设置为指向 www 的 CNAME 记录。
TTL 被设置为 600,正是出于这个原因。
从上周四开始我就一直在折腾这个问题……我越来越觉得问题出在域名本身,但这完全说不通(而且也没有有效的排查步骤)。
有什么我可以测试或尝试的方法来缩小问题范围吗?作为一名系统管理员,我本来很自信,但这个问题让我开始怀疑人生了。
您的 NS 已设置为 DO。因此,也许可以联系 DO 支持团队?
您最近是否将您的域名服务器更改为 DigitalOcean?看起来您已为 pidforum.org 启用了 DNSSEC,但 DigitalOcean 的域名服务器并未返回任何签名。因此,像 8.8.8.8 这样的 DNS 服务器检测到信任链断裂,并拒绝返回记录。
您可以使用以下工具查看更多详细信息:
https://dnsviz.net/d/pidforum.org/dnssec/
https://zonemaster.iis.se/en/?resultid=ab6652c87db6b5f9
如果您想禁用或修改 DNSSEC 设置,通常可以通过您的域名注册商进行操作。
(感谢 @supermathie 提供的关于 DNSSEC 的提示——这是我之前未曾调查过的内容)
好的,DNSSEC 这件事确实有些奇怪,我之前也从未接触过,所以非常感谢你的指点。
为了简化问题,我已经将 Digital Ocean 的域名服务器跳转从配置中移除,现在仅使用 Network Solutions 同时作为注册商和域名服务器,以排除可能的错误或问题。该变更目前正在传播中(但我已测试过此设置,由于某些我不理解的原因,它仍然无法正常工作)。
等域名服务器变更生效一段时间后,我会再检查 DNSSEC 相关设置。不过,我怀疑可能还有其他问题存在。
我已向我的域名注册商确认,他们并未使用 DNSSEC。我完全不知道这里发生了什么。
他们完全帮不上忙。
我打算换个主机(从 MediaTemple 迁移到 Digital Ocean),看看 DNSSEC 错误是否会随之转移。
……网络解决方案提供商已向我保证 DNSSEC 已关闭,且在我的域名管理界面中没有任何添加或删除 DS 记录的接口。
感谢你们追踪到此问题,但我完全不清楚它究竟存在于何处。
我目前还没有,但一位朋友刚建议我把 DNS 迁移到那里,以便获得 DNSSEC 控制功能。
