你可以聚焦最常見的原因來解決外部 DNS 組態故障。首先要確認哪些用戶端遇到了名稱解析問題。如果你在使用美國伺服器租用或其他遠端環境,請檢查伺服器上的 DNS 轉送器設定。問題通常源自 DNS 轉送器故障、設定錯誤、網路連通性問題,或 DNS 伺服器 IP 位址的拼寫錯誤。

  • DNS 轉送器設定問題
  • 設定項中的錯誤或不一致
  • 網路連通性問題
  • 伺服器 IP 位址中的拼寫錯誤

你應該依照循序漸進的流程來排查,並快速修復這些問題。

關鍵重點

  • 使用 NetBeez 和 ThousandEyes 等監控工具,識別存在 DNS 解析問題的用戶端。
  • 透過檢查伺服器可用性、設定錯誤和網路連通性,評估 DNS 故障的範圍。
  • 使用 ping 測試驗證網路連通性,確保 DNS 解析運作正常。
  • 檢查 DNS 轉送器與根提示(Root Hints)的設定是否正確,以防止服務中斷。
  • 使用 Wireshark 等網路封包擷取工具分析 DNS 流量並解決名稱解析故障。

識別 DNS 名稱解析故障

定位受影響的用戶端

你需要先找出哪些用戶端遇到 DNS 名稱解析故障。可以先使用監控工具,這些工具會在效能下降或存取異常時發出警報。NetBeez 和 ThousandEyes 能幫助你快速發現問題。它們會傳送即時警報,並允許你分析 DNS 回應時間。你可以同時監控本地與外部 DNS 伺服器,以判斷問題源頭。

  • NetBeez 提供合成監控測試,並追蹤 DNS 效能趨勢。
  • ThousandEyes 能追蹤 DNS 階層結構,突顯伺服器效能問題或記錄設定錯誤。
  • 即時警報可以反映效能下降。
  • 你可以分析 DNS 回應時間與可用性。
  • 監控範圍涵蓋內部與外部 DNS 伺服器。

在找出受影響的用戶端後,使用診斷指令來確認問題。執行 ipconfig /flushdns 清空用戶端快取。擷取網路流量並過濾 UDP 53 埠,查看 DNS 封包是否到達伺服器。此步驟有助於將 DNS 名稱解析故障與其他網路問題區分開來。

評估故障範圍

在偵測到受影響的用戶端後,你必須評估故障的廣泛程度。留意一些關鍵指標來判斷問題的覆蓋面。下表可以幫助你將 DNS 故障與其他網路問題區分:

問題類型描述
DNS 伺服器不可用名稱伺服器離線或高延遲,導致無法及時完成解析。
設定錯誤DNS 記錄設定錯誤或記錄過期,導致解析失敗。
網路連通性問題防火牆或網路壅塞阻斷 DNS 流量,干擾解析流程。
區域檔案錯誤設定檔中的語法錯誤會阻止正常解析。
傳播延遲DNS 記錄變更需要時間傳播,在此期間可能出現解析不一致。

你還應該檢查服務可達性、DNS 對應關係、防火牆設定與路由狀況。評估事業單位、VLAN、雲端帳戶以及遠端端點,查看故障是否影響多個區域。使用評分函數與模組化準則來衡量影響程度。如果出現網站或應用程式無法存取、相依服務失敗,或不同地區存取結果不一致,很可能存在 DNS 名稱解析問題。

關鍵指標描述
網站與應用程式無法存取在 Web 伺服器正常的情況下,站台或應用程式仍無法連線,通常代表存在 DNS 故障。
相依服務失敗由於 DNS 記錄未成功解析,郵件與 API 等服務發生故障。
內部解析錯誤員工無法存取內部資源,多半表示內部 DNS 解析失敗。
存取不一致不同地區的使用者存取結果不一致,通常暗示 DNS 傳播問題。
診斷工具失敗以 IP 可正常連線,但以網域名稱卻失敗,即可確認是 DNS 問題。

提示:務必記錄發生故障的用戶端與服務。這些紀錄有助於發現規律,並加快後續排查。

檢查外部 DNS 組態與連通性

使用 Ping 測試驗證網路連通性

你應該先從測試網路連通性開始。使用 ping 測試檢查伺服器是否能存取外部資源。Ping 測試可以衡量主機可達性、往返延遲以及封包遺失率。如果在 ping 網域名稱時出現「Ping request could not find host www.google.com」之類的錯誤,但 ping 該 IP 位址卻正常,問題就在 DNS 解析。這代表網路連通性本身正常,但外部 DNS 組態未正常運作。使用外部 DNS 伺服器時,DNS 要求逾時也能進一步確認這一點。

可以依照下列步驟操作:

  1. 開啟命令提示字元。
  2. 執行 ping www.google.com 測試 DNS 解析。
  3. 執行 ping 172.217.5.68 測試直接網路連線。
  4. 如果網域名稱測試失敗但 IP 成功,則應將重點放在 DNS 疑難排解。

提示:務必記錄每次 ping 測試結果,有助於追蹤反覆出現的連通性問題。

檢查 DNS 轉送器與根提示

你必須檢查 DNS 轉送器與根提示是否存在設定錯誤。首先開啟 DNS 管理員。在 Root Hints(根提示)節點中查看是否列出根名稱伺服器的 IP 位址。如果缺漏或不正確,請按右鍵選擇「New Root Hints」新增項目。展開 Forwarders(轉送器)節點並核對轉送 DNS 伺服器的 IP 位址,如有需要,新增轉送器。

步驟操作描述
1開啟 DNS 管理員進入 DNS 管理員主控台。
2展開 Root Hints檢查 Root Hints 節點是否設定正確。
3驗證 IP確保已正確列出根名稱伺服器 IP。
4新增根提示若有錯誤或缺漏,新增新的根提示項目。
5展開 Forwarders檢查 Forwarders 節點的設定。
6驗證轉送器確認轉送 DNS 伺服器 IP 已正確設定。
7新增轉送器視需要新增新的轉送器。

錯誤的 DNS 轉送器設定會導致服務中斷、郵件通訊中斷,甚至帶來安全弱點。你應確認對應區域已存在且記錄完整。透過驗證轉送器與根提示設定,可以有效預防外部 DNS 組態故障。

注意:在 Active Directory 環境中,使用 ipconfig /all 檢查 DNS 用戶端設定。在網路內容中調整設定,並透過 ipconfig /flushdns 清空 DNS 解析程式快取。使用 ipconfig /registerdns 註冊 DNS 記錄。最後在 DNS 管理主控台確認主機、SOA 和 NS 記錄是否完整。

檢查 DNS 伺服器設定

驗證區域與記錄設定

你需要檢查 DNS 伺服器設定,以避免常見問題。先確認用戶端指向正確的 DNS 伺服器。再確認對應區域是否存在,且包含所有預期記錄。使用 DNS 管理主控台檢查轉送器與根提示。你也應查看 DNS 伺服器事件記錄,以判斷是否存在錯誤或警告。從伺服器與用戶端分別執行相同的 DNS 查詢,比較結果。

許多問題源自記錄遺失或錯誤。下表列出常見錯誤及其影響:

錯誤類型描述對功能與安全的影響
CNAME 記錄問題鏈狀或懸空 CNAME 可能導致流量遭到挾持。會增加查詢時間,並可能讓攻擊者有機可乘。
NS 記錄問題名稱伺服器無回應會導致網域無法解析。使網域無法解析,並破壞信任。
TXT 記錄錯誤錯誤的 SPF、DKIM 或 DMARC 記錄會導致郵件投遞問題。合法郵件可能被拒收或標記為垃圾郵件。
PTR 記錄問題錯誤的 PTR 記錄會影響郵件信譽。郵件可能被視為垃圾郵件。
區域傳送弱點錯誤設定的 AXFR 要求會將 DNS 記錄暴露給攻擊者。攻擊者可能取得你的網路架構地圖。
DNSSEC 設定錯誤DNSSEC 設定錯誤會導致中斷。其他服務可能將你的網域視為不存在。

你還應注意 TTL 值過高、開放式 DNS 解析(Open Resolver),以及陳舊記錄。這些問題會拖慢更新、帶來安全風險,並導致「DNS 伺服器不可用」等錯誤。

提示:定期進行 DNS 稽核並保持記錄更新,可以有效降低當機風險。

確認 DNS 服務狀態與 53 埠

你必須確認 DNS 服務是否正在執行並在 53 埠上監聽。使用 netstat 指令查看伺服器是否在該埠維持活動狀態。尋找類似「UDP IPAddress:53 :」的資訊,以確認服務正在監聽。你也可以使用 telnet 測試 53 埠連通性,但請注意它僅適用於 TCP。

如果發現 DNS 伺服器不可用,要檢查 53 埠是否遭到阻擋。封鎖此埠會阻止 DNS 查詢並導致逾時,進而引起應用程式故障,使 DNS 伺服器對使用者不可用。務必確保防火牆允許 UDP 與 TCP 的 53 埠流量。

  • 至少部署主伺服器與次要伺服器兩台 DNS 伺服器,以提高冗餘。
  • 讓網域控制站指向可靠的內部 DNS 伺服器。
  • 監控「DNS 伺服器不可用」錯誤,並及時處理。

注意:定期檢視設定,預防「DNS 伺服器不可用」等問題,維持網路健康運作。

疑難排解名稱解析故障

使用網路封包擷取工具進行 DNS 分析

透過使用網路封包擷取工具分析 DNS 流量,你可以解決許多解析問題。首先在 UDP 53 埠上收集資料封包,該埠負責處理 DNS 查詢與回應。像是 Wireshark 與 tcpdump 這類工具,可以讓你檢視用戶端與伺服器之間傳送的每一個封包。Wireshark 提供協定層級的可視性,協助你發現應用層問題與協定錯誤,對希望深入掌握 DNS 要求診斷的 IT 專業人員來說相當重要。

你也應使用 nslookup、dig 和 DNSChecker 等命令列工具。這些工具有助於追蹤失敗查詢、延遲查詢與設定錯誤。它們可以揭露為何網站無法載入、郵件無法寄出或連線中斷。當你執行封包擷取時,要特別留意查詢回應緩慢、記錄缺失或可疑惡意活動的跡象。

提示:在擷取封包前,務必清空 DNS 用戶端快取,以便擷取最新的查詢與回應。

在分析封包流程時,請聚焦以下關鍵指標:

指標描述
查詢解析時間衡量 DNS 伺服器將網域名稱轉換為 IP 位址所需的時間。延遲過高會影響使用者體驗。
DNS 記錄傳播時間反映 DNS 更新在各伺服器間傳播的時間。傳播緩慢會導致使用過期的導向資訊。
NXDOMAIN/SERVFAIL 錯誤率NXDOMAIN 表示網域不存在,SERVFAIL 表示處理錯誤。監控這些錯誤有助於發現設定問題或攻擊行為。
SOA 序號變化追蹤 DNS 區域檔案的更新情形。意外變更可能代表遭到竄改。
TTL(存活時間)到期表示 DNS 記錄在快取中保留的時間。監控 TTL 有助於在更新速度與伺服器負載之間取得平衡。
DNS 要求異常高峰請求量突然激增可能意味著 DDoS 攻擊或設定錯誤。及早偵測有助於保護網路。
記錄變更(A、AAAA、MX、TXT、NS)監控關鍵 DNS 記錄的變動,可以防止未授權的修改。

你應該在故障發生時蒐集診斷資料,保存封包擷取檔與錯誤日誌。這些資訊有助於後續深入分析,並在長期觀察中發現模式。

處理延遲、查詢遭拒與記錄遺失

要恢復正常服務,你必須解決解析緩慢、查詢遭拒與記錄遺失等根本問題。首先檢查是否已為目標網域設定條件式轉送器。如果沒有,再查看是否存在一般轉送器。若也沒有,則需要檢查根提示。確保在轉送伺服器和被轉送伺服器上,DNS Server 服務都在執行,同時確認所有 DNS 伺服器之間的 UDP 53 埠通訊順暢。

可依照下列步驟來解決名稱解析故障:

  1. 檢查受影響網域是否設定了條件式轉送器。
  2. 若沒有,檢查伺服器上是否存在一般轉送器。
  3. 若仍未解決,檢視 DNS 伺服器上的根提示設定。
  4. 確認所有相關伺服器上的 DNS Server 服務皆為執行狀態。
  5. 確認所有 DNS 伺服器之間的 UDP 53 埠均為開啟狀態。
  6. 清空 DNS 用戶端快取並擷取封包,以追蹤 DNS 封包的流向。

你應該監控回應代碼,以了解所面臨的故障類型。下表列出常見 DNS 回應代碼及其出現頻率:

回應代碼次數百分比
NOERROR2075771.17%
SERVFAIL1260.43%
NXDOMAIN677423.22%
REFUSED15105.18%

NXDOMAIN 比例過高通常表示記錄遺失或設定拼寫錯誤。SERVFAIL 錯誤往往代表伺服器處理問題或設定錯誤。REFUSED 則表示伺服器拒絕了查詢請求,可能是因為存取控制策略封鎖了該請求。

你也應關注延遲問題。過高的查詢解析時間會拖慢網站與應用程式。使用網路封包擷取工具測量每個查詢的耗時。如果發現延遲明顯增加,要檢查伺服器負載、網路壅塞或 DNS 記錄傳播過慢等問題。

注意:請務必記錄你的排查步驟與結論,這有助於建立知識庫,讓未來的問題定位與修復更為快速。

你可以透過清晰的排查流程來解決外部 DNS 組態故障。初始階段可以依照下列步驟進行:

  1. 檢查是否已為目標網域設定條件式轉送器。
  2. 若沒有,在伺服器上尋找一般轉送器。
  3. 若不存在任何轉送器,檢查 DNS 伺服器上的根提示設定。
  4. 確認 DNS 服務狀態與網路連通性是否正常。
  5. 擷取網路封包,以追蹤用戶端與伺服器之間的 DNS 通訊。

為避免後續問題,你應監控關鍵網域與記錄類型(如 A、MX、CNAME、NS、TXT)。設定警示閾值並使用視覺化儀表板觀察趨勢,將警示整合到通知系統中,以便快速回應。同時在不同地區部署監測節點,涵蓋伺服器所支援的全部區域。

你還應定期檢查 DNS 日誌,留意異常活動並進行稽核。這有助於維護伺服器安全,並確保 DNS 設定的正確性。

常見問答(FAQ)

什麼是 DNS 轉送器?

DNS 轉送器會將你的伺服器收到的 DNS 查詢轉送到外部 DNS 伺服器。你在解析外部網域名稱時會使用轉送器,其優點是提升解析速度並加強安全性。

如何判斷 DNS 的 53 埠是否遭到阻擋?

你可以使用 netstat -an | find "53" 指令,檢查伺服器是否在 53 埠上監聽。如果沒有任何結果,可能是防火牆封鎖了該埠。

為什麼需要清空 DNS 快取?

清空 DNS 快取可以移除過期或錯誤記錄,協助你取得最新位址,並快速修復名稱解析錯誤。

有哪些工具可以協助分析 DNS 流量?

你可以使用 Wireshark、tcpdump 或 nslookup。這些工具能協助你擷取封包、測試查詢並找出 DNS 故障發生的位置。

如何預防未來的 DNS 故障?

定期檢視 DNS 日誌並更新記錄,為異常活動設定警示。從多個地點測試 DNS 解析,以便及早發現問題。