Khắc phục sự cố

Nếu bạn gặp sự cố khi phân giải các miền bằng cách sử dụng DNS Google Public, trước tiên, hãy kiểm tra trang chủ Google Public DNS tại https://dns.google/. Phần này có một biểu mẫu tra cứu DNS đơn giản, được hiển thị ở đây.

Nếu trình duyệt không tìm thấy máy chủ dns.google hoặc không phản hồi, hãy kiểm tra để đảm bảo rằng bạn có thể truy cập vào các máy chủ DNS công khai của Google bằng công cụ chẩn đoán dòng lệnh.

Nhập google.com (hoặc tên miền hoặc địa chỉ IP bất kỳ) rồi nhấn Enter để xem trang kết quả DNS chi tiết như sau:

Khắc phục sự cố DNS công khai của Google

Có nhiều loại sự cố phân giải DNS có thể xảy ra; hãy làm theo chỉ dẫn bên dưới tiêu đề phù hợp nhất với vấn đề của bạn. Nếu bạn cần báo cáo sự cố và yêu cầu trợ giúp, hãy cung cấp kết quả của mọi lệnh hoặc văn bản từ các trang chẩn đoán trong báo cáo.

Sự cố khi giải quyết miền

Nếu DNS công khai của Google gặp sự cố khi phân giải một tên miền nhất định, hãy nhập tên miền đó vào trang chi tiết dns.google. Nếu vấn đề xảy ra với một loại bản ghi tài nguyên DNS (RR) cụ thể, hãy nhập bản ghi đó vào trường "RR type" văn bản (bạn cũng có thể nhập một số). Nhấn phím Enter hoặc nhấp vào Giải quyết để xem kết quả.

Trong kết quả chi tiết, có thể có một dòng với "Comment": ở dưới cùng với chẩn đoán về truy vấn DNS của bạn. Ví dụ: bạn có thể thấy
"DNSSEC validation failure. Check http://dnsviz.net/d/dnssec-failed.org/dnssec/ and http://dnssec-debugger.verisignlabs.com/dnssec-failed.org for errors"

Truy cập tất cả URL của bình luận (đây là các đường liên kết không phải là đường liên kết, sao chép và dán vào trình duyệt) để xem thông tin chẩn đoán chi tiết có thể xác định nguyên nhân của vấn đề giải quyết vấn đề.

Nếu có một dòng Nhận xét khớp với một trong các mục sau đây, hãy nhấp vào đường liên kết tương ứng để chuyển thẳng đến bước chẩn đoán cụ thể hoặc chỉ bắt đầu với bước đầu tiên của mục Khắc phục sự cố miền.

DNSSEC validation failure

Nếu bạn thấy thông báo này, hãy tắt tùy chọn xác thực bằng cách nhấp vào nút bật/tắt DNSSEC và nhấp vào Resolution (Giải quyết) để thử lại truy vấn. Nếu việc đó thành công ("Status": 0), tức là có sự cố về DNSSEC; hãy xem khắc phục sự cố về DNSSEC. Nếu không, hãy xem phần Khắc phục sự cố máy chủ định danh.

Name servers

Xem phần Khắc phục sự cố máy chủ định danh.

Resolution failure hoặc Lame delegation

Xem phần Khắc phục sự cố ủy quyền.

Nếu bạn gặp sự cố với các bản ghi lớn (thường là khoá DNSSEC hoặc bản ghi TXT), hãy đọc bài viết về cách khắc phục các phản hồi lớn.

Trả về câu trả lời sai cho một miền

Có nhiều lý do khiến DNS Google Public có thể trả về câu trả lời sai; hãy thử một trong các cách sau nếu bạn có kiến thức về miền.

Nếu các máy chủ của một miền gần đây đã thay đổi

Đặc biệt, nếu miền có máy chủ DNS mới hoặc nhà đăng ký tên miền DNS mới, thì DNS công khai của Google có thể trả về những câu trả lời cũ (nhưng chưa hết hạn) đã lưu vào bộ nhớ đệm. Dùng Bộ nhớ đệm xả (tài liệu) để xóa miền đã đăng ký và tên miền cụ thể trả về câu trả lời cũ.

Nếu bạn vẫn nhận được câu trả lời cũ sau khi xóa, hãy truy vấn loại RR SOA cho miền đã đăng ký trên trang chi tiết dns.google. và kiểm tra số sê-ri của vùng (số đầu tiên trong "Answer" "data" Nếu đôi khi bạn nhận được các số sê-ri khác nhau, một số máy chủ định danh có thẩm quyền có thể đang phân phát dữ liệu cũ và toán tử DNS của miền cần khắc phục vấn đề này.

Nếu địa chỉ của miền Mạng phân phối nội dung (CDN) ở xa

Khi có một địa chỉ gần hơn mà lẽ ra sẽ được trả về, có thể các máy chủ định danh có thẩm quyền sẽ không triển khai đúng cách EDNS Client Subnet (ECS). Toán tử DNS cho miền phải xác nhận rằng họ tuân thủ tất cả nguyên tắc trên trang đó.

Nếu ứng dụng của bạn thấy địa chỉ khác với kết quả trên web dns.google

Nếu trang web dns.google bị chặn hoặc hiển thị các kết quả rất khác, trước tiên, hãy kiểm tra để đảm bảo rằng bạn đang sử dụng DNS công khai của Google. Nếu bạn gặp trường hợp này, một số câu trả lời có thể là do cổng Wi-Fi bị khóa, phần mềm độc hại trên bộ định tuyến, nhà cung cấp dịch vụ Internet (ISP) hoặc mạng của bạn chiếm đoạt. Xem hướng dẫn khắc phục sự cố để chặn và chiếm đoạt.

Quá trình phân giải miền quá chậm

Mặc dù các công cụ như traceroute và ping sẽ báo cáo độ trễ mạng, nhưng các công cụ này không đo lường tốc độ của độ phân giải DNS và chỉ hữu ích khi cố gắng tìm vị trí trễ hoặc xác nhận khả năng truy cập mạng. Google không chặn ICMP hoặc UDP ngẫu nhiên đến các địa chỉ IP DNS công khai của Google, nhưng có giới hạn tốc độ đối với nội dung trả lời lỗi ICMP và lưu lượng truy cập ICMP có thể bị hủy ưu tiên trong mạng Google.

Để đo tốc độ độ phân giải DNS, bạn cần sử dụng công cụ kiểm tra DNS, như farrokhi/dnsdiag (Python, GitHub) hoặc dnsping (C#, SourceForge). Bạn có thể đo lường toàn diện hơn bằng các công cụ như Namebench hoặc GRC DNS Benchmark (cho Windows).

Xác định tàu điện ngầm phục vụ truy vấn của bạn

Khoảng cách mạng giữa thiết bị của bạn và trình phân giải DNS công khai của Google góp phần trực tiếp vào tốc độ phân giải. Chúng tôi triển khai Tùy chọn giá trị nhận dạng máy chủ định danh để báo cáo mã sân bay của thành phố lớn nơi xử lý truy vấn DNS. Nếu vị trí thành phố lớn ở xa vị trí của bạn, độ trễ truy vấn sẽ cao hơn. Có nhiều lý do, bao gồm việc định tuyến dưới mức tối ưu giữa mạng của bạn và Google hoặc thiếu khả năng phân phát trong một thành phố lớn.

Để tìm mã sân bay, bạn có thể truy vấn trình phân giải DNS của chúng tôi bằng cách đặt mã nhận dạng máy chủ định danh (DNS) của tuỳ chọn EDNS. Phản hồi sẽ có định dạng gpdns-<airport code>. Hãy chạy lệnh sau để tìm hiểu xem phản hồi của bạn đến từ thành phố nào:

$ dig @dns.google. +nsid | grep NSID
; NSID: 67 70 64 6e 73 2d 63 68 73 ("gpdns-chs")
$ dig www.google.com @dns.google. +nsid | grep NSID
; NSID: 67 70 64 6e 73 2d 63 68 73 ("gpdns-chs")

Độ phân giải qua IPv6 chậm hơn

Nếu độ trễ độ phân giải qua IPv6 dài hơn đáng kể so với IPv4, thì khả năng kết nối IPv6 giữa ISP và Google của bạn có thể sẽ không tối ưu. Các nhà cung cấp dịch vụ Internet ngang hàng với Google cần kiểm tra số bước chuyển hướng lớn hơn trong đầu ra theo dõi IPv6 (xem cách liên hệ với máy chủ DNS công khai của Google) hoặc các vấn đề khác về việc định tuyến BGP trên trang tổng quan của họ và gửi email về Google NOC nếu định tuyến IPv6 của họ có vẻ đang chuyển tới một thành phố lớn khác với IPv4.

Không có phản hồi cho (một số) truy vấn DNS của tôi

Thông thường, một tỷ lệ rất nhỏ các yêu cầu UDP DNS sẽ bị loại bỏ, nhưng nếu bạn thấy sự sụt giảm về một hoặc nhiều truy vấn, hãy sử dụng công cụ kiểm tra DNS như các công cụ trong phần trước.

Nếu công cụ kiểm tra DNS cho thấy các cụm từ tìm kiếm không được trả lời ở mức cao (và đặc biệt là nếu ping và traceroute không hiển thị tỷ lệ thả tương đương), hãy kiểm tra xem địa chỉ IP của bạn có đang tạo nhiều hơn 1000 cụm từ tìm kiếm mỗi giây hay không, điều này có thể kích hoạt giới hạn tốc độ. Nếu có, bạn có thể yêu cầu tăng giới hạn tốc độ trên trình theo dõi vấn đề của chúng tôi.

Chặn và chiếm đoạt DNS

Nếu bạn không nhận được bất kỳ phản hồi nào cho các truy vấn DNS (nhưng trang dns.google đang hoạt động) các truy vấn UDP và TCP có thể bị chặn hoặc bị chiếm đoạt. Chạy các lệnh sau để kiểm tra xem truy vấn UDP và TCP có truy cập DNS công khai của Google không:

nslookup -debug -type=TXT test.dns.google.com. dns.google.
nslookup -debug -type=TXT -vc locations.dns.google.com. dns.google.

dig -t TXT test.dns.google.com. '@dns.google.'
dig -t TXT +tcp locations.dns.google.com. '@dns.google.'

Nếu kết quả của lệnh đầu tiên cho thấy "Thanks for using Google Public DNS." các truy vấn UDP của bạn đang đạt đến DNS Google Public; nếu kết quả đầu ra của lệnh thứ hai bao gồm locations.publicdns.goog., thì các truy vấn TCP của bạn cũng sẽ đến Google.

Nếu kết quả hiển thị NXDOMAIN thì tức là bạn đang kết nối với một trình phân giải DNS khác. Nếu kết quả hiển thị thời gian chờ, các truy vấn DNS tới Google Public DNS sẽ bị chặn. Sử dụng các lệnh theo dõi UDP hoặc DNS trong phần sau để xem có thể xảy ra tình trạng chiếm đoạt hoặc chặn.

Kiểm tra để đảm bảo rằng bạn đang truy cập vào các máy chủ DNS Google Public

Nếu bạn không thể mở trang chủ dns.google, thì có thể đã xảy ra sự cố mạng hoặc chặn ngăn bạn truy cập DNS Google Public.

Nếu hệ thống của bạn được định cấu hình để sử dụng DNS công khai của Google làm trình phân giải DNS, bạn có thể cần thay thế tên dns.google trong các lệnh sau bằng địa chỉ IP của DNS Google Public. Trước tiên, hãy thử dùng tên. Nếu không thành công, hãy dùng 8.8.8.8 hoặc địa chỉ khác.

Mở cửa sổ dòng lệnh bằng lời nhắc lệnh và chạy các lệnh traceroute này:

tracert -d -w 2000 dns.google

tracert -6 -d -w 2000 dns.google

/usr/sbin/traceroute -n -w 2 -m 30 dns.google

/usr/sbin/traceroute6 -n -w 2 -m 30 dns.google

sudo /usr/sbin/traceroute -n -w 2 -m 30 dns.google

Nếu dòng cuối cùng của kết quả không hiển thị địa chỉ IP DNS công khai của Google (8.8.8.8, 8.8.4.4 hoặc địa chỉ IPv6 bắt đầu bằng 2001:4860:4860), thì có thể xảy ra sự cố mạng khiến bạn không thể truy cập vào Google.

Trên các hệ thống không phải Windows, hãy lặp lại các lệnh ở trên với một tùy chọn -I hoặc -U, để sử dụng các gói ICMP hoặc gói UDP không phải DNS được gửi đến cổng DNS (53). Nếu bạn không nhận ra tuỳ chọn -I, hãy thử lệnh ping để gửi ICMP:

ping -c 2 dns.google

Bạn có thể dùng lệnh dnstraceroute của các công cụ kiểm tra DNS Farrokhi/dnsdiag được mô tả trong phần Giải quyết các miền quá chậm để theo dõi lộ trình của các truy vấn DNS thực (ngay cả trên Windows).

Nếu một số lệnh trong số này hoạt động và các lệnh khác trả về lỗi mạng hoặc hết thời gian chờ, thì tính năng lọc mạng có thể ngăn không cho bạn truy cập DNS Google Public. Hãy liên hệ với quản trị viên mạng hoặc bộ phận hỗ trợ ISP để xác nhận việc này.

Nếu không có lệnh nào thành công, hãy liên hệ với nhà cung cấp dịch vụ Internet (cấp trên) hoặc nếu bạn là nhà cung cấp dịch vụ Internet (ISP) hợp tác với Google, hãy liên hệ với Google NOC. Dòng cuối cùng của đầu ra traceroute không có ba sao * * * (hiển thị thời gian chờ nhất quán) có thể cho biết vị trí đang xảy ra sự cố.