Сегодня я столкнулся с интересной проблемой: кто-то изменил две MX-записи в DNS/BIND в спешке, чтобы предотвратить еще одну ситуацию в двух наших доменах xxx1.pt и xxx2.pt.
При этом не были соблюдены меры предосторожности по заблаговременному уменьшению TTL этой записи.
Изменение было произведено при TTL в 2 недели.
Интересно, что мне было указано на то, что ответы публичных серверов Google DNS не все одинаковы.
Тестирование с 8.8.8.8 все еще разрешает его со старым адресом со странным ответом, возвращающим новый адрес.
Серийник SOA был обновлен наверняка, так как согласно местным процедурам/конфигурации он обновляется автоматически, чтобы люди не забывали это делать.
Поэтому меня спросили, почему такой странный ответ, и можно ли что-то сделать на стороне BIND.
Есть также особая срочность в решении проблемы кэша на стороне Google, по причинам, не относящимся к этому вопросу.
Что я могу сделать на стороне BIND?
Здесь очевидно, что со стороны BIND мало что можно сделать.
Имея записи RR с TTL в 2 недели, всегда существует риск того, что DNS-серверы все еще будут иметь адрес в кеше.
Google также , кажется, смутно намекает на некоторых страницах справки, что он поддерживает длинные TTL для по крайней мере до 3 дней .
Что еще более интересно, странный ответ с новым адресом может быть связан с тем, что несколько DNS-серверов в Google DNS CDN/кластере могли уже очистить кеш и получить новый адрес, или могли никогда не видеть наш домен, или могли быть предоставлен после изменения и никогда не видел старый адрес на самом деле ). Или может быть потому, что иногда это другая точка CDN/другого кластера DNS, возвращающая ответ. Не исследовал.
Или, переходя к сути, неудивительно, что разные ответы не являются особенно удивительными, поскольку служба DNS 8.8.8.8 не обслуживается одним сервером и имеет сложную инфраструктуру -.
Что касается кеша на стороне службы DNS Google, я нашел очень интересную страницу, которая позволяет широкой публике сбрасывать глобально произвольные записи RR DNS здесь
После ручной очистки кеша записей MX доменов в вопросах общедоступные DNS-серверы Google были снова протестированы с помощью dig
, и ответом уже были новые данные RR.