Skip to main content

Beste,

Ik probeer vanaf mijn thuisnetwerk naar de site authentication.services.acm.nl te gaan. Soms lukt dit wel en soms lukt dit niet. Als dit niet lukt dan gaat de DNS-resolving niet o.k. via 195.121.1.66.

Waarschijnlijk zit er achter dit IP-adres een hele farm aan resolving DNS-servers waarvan de ene server wel de resolving succesvol uitvoert en de andere niet.

Zie details hier onder. Deze queries zijn direct na elkaar uitgevoerd.

Kan hier naar gekeken worden?

 

$ dig @195.121.1.66 authentication.services.acm.nl

; <<>> DiG 9.16.1-Ubuntu <<>> @195.121.1.66 authentication.services.acm.nl
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5413
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;authentication.services.acm.nl.        IN      A

;; ANSWER SECTION:
authentication.services.acm.nl. 30 IN   A       87.215.0.216
authentication.services.acm.nl. 30 IN   A       87.215.38.88

;; Query time: 84 msec
;; SERVER: 195.121.1.66#53(195.121.1.66)
;; WHEN: Tue Oct 27 08:25:06 CET 2020
;; MSG SIZE  rcvd: 91

$ dig @195.121.1.66 authentication.services.acm.nl

; <<>> DiG 9.16.1-Ubuntu <<>> @195.121.1.66 authentication.services.acm.nl
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 57333
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;authentication.services.acm.nl.        IN      A

;; AUTHORITY SECTION:
services.acm.nl.        897     IN      SOA     dns3.acm.nl. hostmaster.acm.nl. 2020092504 10800 3600 2419200 900

;; Query time: 28 msec
;; SERVER: 195.121.1.66#53(195.121.1.66)
;; WHEN: Tue Oct 27 08:25:09 CET 2020
;; MSG SIZE  rcvd: 111

$   

Hoi @joso . Welkom op het forum.

Ik heb daar niet direct een verklaring voor. Heb je het ook geprobeerd met custom DNS? (bijvoorbeeld die van google?)

Ik ga dit achter de schermen voor je navragen. Ik kom er sowieso op terug.

Hoi Erwin,

Als ik de dig test 10 maal doe naar 195.121.1.66 dan gaat het 5 maal goed en 5 maal komt er een NXDOMAIN terug. Een zelfde test met Google DNS, 8.8.8.8 en 8.8.4.4, en OpenDNS,  208.67.220.220 en 208.67.222.222 levert gewoon iedere keer een antwoord op.

Er heeft een techneut meegekeken en hij geeft het volgende aan:

Het probleem is dat de name server van de acm wel een goed antwoord geeft op de vraag wat het A record (ip-addres) is voor  authentication.services.acm.nl.

Maar wanneer bv het MX record wordt opgevraagd, het antwoord komt dat hij authentication.services.acm.nl. niet kent (NXdomain) .

Nu wordt omdat de dns meld dat het niet verantwoordelijk is voor authentication.services.acm.nl (voor het dnssec gedeelte om precies te zijn), het antwoord niet meer geaccepteerd.

Mijn collega zoekt contact met ACM en we hopen dat dit snel opgelost gaat worden.

 

Deze verklaring begrijp ik niet helemaal. Waarom kan een A-record niet worden geresolved omdat er een ander record in de zone ontbreekt (zoals bijvoorbeeld een AAAA-record of een MX-record). Voor DNSSEC validation is het ook niet noodzakelijk. Google DNS en OpenDNS doen standaard ook DNS validatie en die DNS-resolvers hebben geen probleem met het resolven en valideren van  het A-record authentication.services.acm.nl.

Mijn collega verwees ook nog naar deze pagina : https://dnsviz.net/d/authentication.services.acm.nl/dnssec/  ( de warnings) 

Om eerlijk te zijn gaat deze discussie mij boven de pet. Mocht je met die link nog steeds twijfels hebben bij de uitleg, zal ik weer contact zoeken met mijn collega. 

 

Beste Erwin,

 

Het ziet er naar uit dat dit probleem nu is opgelost. Het probleem was dat de DNS-server van services.acm.nl. niet altijd de juiste response gaf.

 

Als een record wordt opgevraagd en het bestaat niet dan zijn er de volgende responses mogelijk:
-NXDOMAIN: De naam bestaat niet en er is geen enkel ander record (a, aaaa, cname, txt, etc....). 
-NOERROR + SOA-record: Het record bestaat niet maar er is wel een ander type record met die naam (het opgevraagde aaaa-record bestaat niet maar mogelijk is er wel een a- of cname-record).  

 

In sommige gevallen gaf de DNS-server een NXDOMAIN i.p.v. een NOERROR waardoor het proces van resolving stopte. 

 

Blijkbaar gebruiken Google DNS en OpenDNS een andere manier van resolven waardoor dit bij hun altijd goed gaat.

 

Dank voor je hulp.

 

Fijn dat het is opgelost! :-)

De Kennisbank

Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank

...

Community voorwaarden