Ошибка при проверке безопасного подключения Google DNS

Обновлено: 21.11.2024

На этой странице представлены решения распространенных проблем, с которыми вы можете столкнуться при использовании Cloud DNS для создания частных зон, зон обратного просмотра, зон переадресации и записей ресурсов.

Приватные зоны

В этом разделе рассматриваются проблемы с частными зонами.

Проблемы с частной зоной в проектах службы Shared VPC

Важную информацию об использовании частных зон с общими сетями VPC см. в разделе Частные зоны и общие VPC.

Невозможно создать частную зону, нельзя перечислить или создать политики

Вы должны иметь роль администратора DNS для выполнения различных действий в частной зоне, таких как перечисление политик сервера системы доменных имен (DNS) или создание частной зоны. Эту роль можно назначить с помощью инструмента управления идентификацией и доступом (IAM).

Частные зоны не разрешаются в одной сети VPC

Убедитесь, что вы выполняете тест из экземпляра ВМ, основной интерфейс которой находится в той же сети, что и созданная вами частная зона

Экземпляр виртуальной машины (ВМ) отправляет весь трафик из своего основного интерфейса, если только этот трафик не предназначен для подсети, подключенной к одному из других интерфейсов, или если для виртуальной машины настроена политика маршрутизации. Убедитесь, что основной интерфейс вашей тестовой ВМ находится в той же сети, что и тестируемая частная зона.

Убедитесь, что ваша ВМ использует:

Убедитесь, что сеть находится в списке сетей, которым разрешено запрашивать вашу частную зону:

Убедитесь, что DNS-имя в запросе соответствует вашей зоне

Google Cloud использует сопоставление самого длинного суффикса, чтобы решить, в какой зоне запрашивать заданное DNS-имя. Убедитесь, что суффикс запрашиваемой записи соответствует хотя бы одной частной зоне, доступной в вашей сети VPC. Например, Google Cloud сначала ищет myapp.dev.gcp.example.lan в зоне, которая обслуживает dev.gcp.example.lan , если она доступна, а затем ищет его в зоне, которая обслуживает gcp.example.lan , если доступный.

Вывод следующей команды показывает суффикс DNS для данной частной зоны:

Запрос DNS-имени с помощью сервера метаданных

Используйте dig для отправки запроса DNS-имени непосредственно на сервер метаданных Google Cloud 169.254.169.254 :

Используйте dig для запроса сервера имен ВМ по умолчанию:

Если выходные данные двух команд dig дают разные ответы, проверьте ;; СЕРВЕР: раздел второй команды. Отвечающий сервер должен быть сервером метаданных, 169.254.169.254. Если это не так, значит, вы настроили гостевую операционную систему на использование собственного сервера имен DNS вместо сервера метаданных Google Cloud по умолчанию. Частные зоны Cloud DNS требуют, чтобы вы использовали сервер метаданных для разрешения имен. И гостевая среда Linux, и гостевая среда Windows делают это за вас. Если вы импортировали образ, который используете для виртуальной машины, убедитесь, что установлена ​​соответствующая гостевая среда.

Частные зоны не разрешаются через Cloud VPN или Cloud Interconnect

Сначала убедитесь, что вы можете успешно запросить и разрешить DNS-имя из авторизованной сети VPC.

Проверьте подключение через Cloud VPN или Cloud Interconnect

Убедитесь, что подключение локальной системы к вашей сети VPC работает. В частности, TCP- и UDP-трафик через порт 53 должен иметь возможность покидать вашу локальную сеть и доставляться в вашу сеть VPC. Проверьте конфигурацию локальных брандмауэров, чтобы убедиться, что такой исходящий трафик разрешен.

Вы можете использовать любой протокол, например ping (ICMP), для проверки подключения к образцу виртуальной машины в сети VPC из локальной среды. Хотя запросы Cloud DNS не отправляются на виртуальные машины Google Cloud, тестирование подключения к образцу виртуальной машины позволяет проверить подключение через туннель Cloud VPN или соединение Cloud Interconnect. Убедитесь, что вы настроили соответствующее правило брандмауэра для разрешения входящего трафика для образца Google Cloud VM, поскольку в противном случае подразумеваемое правило запрета входящего трафика блокирует весь входящий трафик.

Убедитесь, что входящая переадресация включена для авторизованной сети VPC

Переадресация входящего трафика должна быть включена для каждой сети VPC, которая имеет право запрашивать вашу частную зону Cloud DNS. Используйте следующую команду, чтобы вывести список всех политик:

Определите сеть в выходной таблице и проверьте поле Forwarding, чтобы узнать, включена ли переадресация.

Убедитесь, что авторизованная сеть является сетью VPC

Для переадресации DNS требуются подсети, которые доступны только в сетях VPC, не в устаревших сетях.

Устаревшие сети обозначаются в выходных данных как LEGACY .

Убедитесь, что в этой сети зарезервирован действительный адрес переадресации DNS

Следующая команда показывает все зарезервированные IP-адреса переадресации DNS в вашем проекте.

Вы можете добавить к фильтру предложение AND, чтобы ограничить вывод только интересующей вас подсетью.

Если вы не видите IP-адрес в ожидаемой сети/регионе, отправьте запрос в службу поддержки Google Cloud.

Запустите команду dig, указав в запросе адрес, который вы нашли в предыдущей команде. Сделайте это с виртуальной машины в той же сети. Этот тест проверяет, работает ли сервер пересылки входящих сообщений и что проблема связана с чем-то другим.

Повторите ту же команду dig, но с локального хоста через VPN.

Запись CNAME, определенная в частной зоне, не работает

Записи CNAME в зонах DNS частного облака поддерживаются преобразователем DNS Compute Engine, если целью является одно из следующих:

  • Имя в той же частной зоне
  • Имя в другой частной зоне
  • Имя в зоне переадресации
  • Имя во внутреннем DNS Compute Engine ( .internal )
  • Обратное имя (запись PTR) во внутреннем DNS Compute Engine.

Записи CNAME не могут быть нацелены на какой-либо другой ресурс. Дополнительную информацию см. в разделе Преследование CNAME.

Зоны обратного просмотра

В этом разделе приведены советы по устранению неполадок, связанных с зонами обратного просмотра. Некоторые проблемы с частной зоной также относятся к зонам обратного просмотра. Дополнительные советы см. в разделе «Устранение неполадок с частными зонами».

Виртуальная машина с адресом, отличным от RFC 1918, не разрешается

Согласуйте свою ВМ с адресом, отличным от RFC 1918

Если вы создали виртуальную машину во время альфа-тестирования, отличного от RFC 1918, до того, как была запущена поддержка Cloud DNS, эти виртуальные машины могут неправильно разрешаться. Чтобы решить эту проблему, перезапустите виртуальные машины.

Зоны переадресации

В этом разделе приведены советы по устранению неполадок, связанных с зонами переадресации. Некоторые проблемы с частной зоной также относятся к зонам переадресации. Дополнительные советы см. в разделе «Устранение неполадок с частными зонами».

Зоны переадресации (исходящая переадресация) не работают

Сначала убедитесь, что вы можете успешно запросить и разрешить DNS-имя из авторизованной сети VPC.

Переадресация запросов от ВМ в сети VPC потребителя в сеть VPC производителя не работает

Если вы используете пиринг DNS и хотите перенаправлять запросы от ВМ в сети VPC потребителя в сеть VPC производителя, а затем на один или несколько локальных серверов имен, необходимо убедиться, что сеть VPC производителя имеет ВМ или VPN-туннель в том же регионе, что и подсеть, используемая клиентскими ВМ.

Проверьте подключение через Cloud VPN или Cloud Interconnect

Вы можете использовать любой протокол, например ping (ICMP), для проверки подключения к образцу виртуальной машины в сети VPC из локальной среды. Вы также должны попытаться запросить локальный сервер имен непосредственно из образца виртуальной машины Google Cloud с помощью такого инструмента, как dig :

Проверьте правила брандмауэра в вашей сети VPC

Подразумеваемое правило брандмауэра разрешает исходящий трафик разрешает исходящие подключения и установленные ответы от ВМ в вашей сети VPC, если только вы не создали настраиваемые правила для запрета исходящего трафика. Если вы создали настраиваемые правила запрета исходящего трафика, вам потребуется создать разрешающие правила с более высоким приоритетом, которые разрешают исходящий трафик по крайней мере на ваши локальные серверы имен.

Проверьте локальный брандмауэр

Убедитесь, что локальный брандмауэр настроен на разрешение входящего и исходящего трафика с адреса 35.199.192.0/19 .

Проверьте журналы локального брандмауэра и найдите DNS-запросы с адреса 35.199.192.0/19 . Чтобы использовать регулярное выражение для поиска, используйте следующее:

Проверьте локальный сервер имен

Убедитесь, что на локальном сервере имен не настроен ни один ACL-список, который блокировал бы запросы от 35.199.192.0/19 .

Проверьте локальный сервер имен, чтобы узнать, получает ли он пакеты с адреса 35.199.192.0/19 . Если у вас есть доступ к оболочке, вы можете использовать такой инструмент, как tcpdump, для поиска как входящих пакетов, так и исходящих пакетов на адрес 35.199.192.0/19:

Проверьте обратные маршруты

В вашей локальной сети должен быть маршрут к месту назначения 35.199.192.0/19, а следующим прыжком должен быть VPN-туннель или межсоединение для той же сети VPC, которая отправила DNS-запрос. Это поведение описано в разделе Создание зон переадресации.

Если вы используете несколько VPN-туннелей для подключения одной и той же сети VPC к локальной сети, ответ не обязательно должен доставляться с использованием того же туннеля, который его отправил. Однако ответ должен быть доставлен с использованием туннеля VPN со следующим переходом в той же сети VPC, из которой исходит запрос.

Если к локальной сети подключено несколько сетей VPC, необходимо убедиться, что ответы DNS не отправляются не в ту сеть. Google Cloud отбрасывает ответы DNS, отправленные в неправильную сеть VPC. Рекомендуемое решение см. в нашем Руководстве по рекомендациям.

Переадресация исходящего трафика на сервер имен, использующий IP-адрес, не соответствующий RFC 1918, завершается ошибкой

По умолчанию Cloud DNS использует стандартную маршрутизацию, которая направляет запросы через общедоступный Интернет, если целевой сервер имен имеет IP-адрес, не соответствующий RFC 1918.Стандартная маршрутизация не поддерживает перенаправление запросов на серверы имен с адресами, отличными от RFC 1918, которые недоступны из общедоступного Интернета.

Чтобы перенаправлять запросы на сервер имен, использующий IP-адрес, отличный от RFC 1918, через вашу сеть VPC, настройте зону переадресации Cloud DNS или политику сервера для использования частной маршрутизации для целевого сервера имен.

Объяснение различий между стандартной и частной маршрутизацией см. в разделе Цели переадресации и методы маршрутизации.

Это ограничение применяется, даже если для целевого сервера имен существует маршрут VPC; маршруты для адресов, отличных от RFC 1918, не влияют на поведение исходящей переадресации Cloud DNS, если настроена стандартная маршрутизация.

Сбой исходящей переадресации на дополнительную сетевую карту

Убедитесь, что вы правильно настроили дополнительный контроллер сетевого интерфейса (NIC).

Исходящие переадресованные запросы получают ошибки SERVFAIL

Если Cloud DNS получает сообщение об ошибке от всех целевых серверов имен или не получает ответа ни от одного из целевых серверов имен, возвращается ошибка SERVFAIL.

Чтобы решить эту проблему, убедитесь, что ваши локальные серверы имен правильно настроены. Затем убедитесь, что ваши локальные серверы имен отвечают на запросы из диапазона адресов Cloud DNS, описанного в Open Google Cloud, и локальные брандмауэры, чтобы разрешить трафик DNS в течение 4 секунд. Если ваши локальные серверы имен обращаются к вышестоящим серверам имен (например, из-за того, что они настроены как кэширующие преобразователи), убедитесь, что нет проблем с вышестоящими серверами имен.

Кроме того, если целью пересылки является локальная система, имейте в виду, что маршруты, настроенные для этого пути, могут быть пользовательскими динамическими маршрутами или пользовательскими статическими маршрутами, с важным исключением, что пользовательские статические маршруты с сетевыми тегами недействителен для пересылки DNS-запросов. Убедитесь, что в маршруте, используемом для доступа к локальному серверу имен, не указан сетевой тег.

Использование внутренних балансировщиков нагрузки TCP/UDP в качестве целей переадресации для исходящих зон переадресации

Cloud DNS не поддерживает использование внутренних балансировщиков нагрузки TCP/UDP в качестве целей переадресации для исходящих зон переадресации или в качестве альтернативных серверов имен. Список поддерживаемых целей см. в разделе Цели переадресации и методы маршрутизации.

Сбой переадресации входящего трафика в сети VPC, в подсетях которой используются диапазоны IP-адресов, не соответствующие RFC 1918

Cloud DNS не поддерживает переадресацию входящего трафика, если сеть VPC содержит подсети, диапазоны IP-адресов которых выходят за пределы диапазонов RFC 1918.

Записи ресурсов

В этом разделе приведены советы по устранению неполадок с записями ресурсов.

Непредвиденные данные при запросе наборов записей ресурсов, присутствующих в зоне

Существует несколько причин, по которым вы можете получить неожиданные данные при запросе наборов записей ресурсов, присутствующих в управляемой зоне Cloud DNS:

Google Cloud VM показывает неправильные записи указателя (PTR)

Подробнее о том, как применять записи PTR к ВМ, см. в разделе Создание записи PTR для экземпляра ВМ.

Наборы записей ресурсов Cloud DNS возвращаются в случайном порядке

В соответствии с отраслевой практикой DNS серверы имен Cloud DNS теперь рандомизируют порядок наборов записей ресурсов и игнорируют порядок, заданный полномочным сервером. Это нормальное поведение DNS, которое применяется как к общедоступным , так и к частным зонам Cloud DNS.

Неподдерживаемый тип зонального ресурса

Когда вы вводите флаг --location в команду gcloud или запрос API для функции, предназначенной для другой зоны Cloud DNS, запрос отклоняется. Например, если вы отправляете запрос функции только для зоны на глобальный сервер или запрос только для глобальной функции на зональный сервер, сервер отклоняет запрос и выдает ошибку _UNSUPPORTED_ZONAL_RESOURCETYPE.

Список ресурсов и функций, поддерживаемых зональным Cloud DNS, см. в разделе Поддержка зонального Cloud DNS.

Что дальше

  • Подробнее о функциях см. в разделе Обзор Cloud DNS.
  • Чтобы устранить ошибки, см. раздел Сообщения об ошибках.
  • Для получения дополнительной помощи см. раздел Поддержка.

Если не указано иное, содержимое этой страницы предоставляется по лицензии Creative Commons Attribution 4.0, а образцы кода — по лицензии Apache 2.0. Подробнее см. в Правилах сайта Google Developers. Java является зарегистрированным товарным знаком Oracle и/или ее дочерних компаний.

Если ваш браузер не может найти сервер dns.google или не отвечает, проверьте, можете ли вы получить доступ к общедоступным DNS-серверам Google с помощью диагностики из командной строки.

Устранение неполадок Google Public DNS

Существует много возможных проблем с разрешением DNS; следуйте указаниям под заголовком, который наиболее точно соответствует вашей проблеме. Если вам нужно сообщить о проблеме и получить помощь, включите в отчет вывод любых команд или текст со страниц диагностики.

Проблемы с доменом

Если у Google Public DNS возникают проблемы с разрешением определенного доменного имени, введите его на странице сведений dns.google. Если проблема связана с определенным типом записи ресурса DNS (RR), введите его в текстовое поле «Тип RR» (можно также ввести число). Нажмите Enter или щелкните Разрешить, чтобы увидеть результаты.

В подробных результатах может быть строка с «Комментарием»: внизу с диагностикой вашего DNS-запроса. Например, вы можете увидеть
"Ошибка проверки DNSSEC. Проверьте http://dnsviz.net/d/dnssec-failed.org/dnssec/ и http://dnssec-debugger.verisignlabs.com/dnssec-failed. .org на наличие ошибок"

Посетите все URL-адреса комментариев (это не ссылки, скопируйте и вставьте их в браузер), чтобы просмотреть подробную диагностику, которая может определить причину проблем с разрешением.

Если есть строка комментария, соответствующая одной из следующих записей, щелкните соответствующую ссылку, чтобы перейти непосредственно к определенному шагу диагностики, или просто начните с первого шага устранения неполадок домена.

Ошибка проверки DNSSEC Если вы видите это, отключите проверку, щелкнув переключатель DNSSEC, и нажмите Разрешить, чтобы повторить запрос. Если это удается ("Status": 0), возникает проблема с DNSSEC; см. раздел «Устранение неполадок DNSSEC». В противном случае см. раздел Устранение неполадок сервера имен. Серверы имен См. Устранение неполадок сервера имен. Ошибка разрешения или делегирование Lame См. раздел Устранение неполадок делегирования.

Если у вас возникают проблемы с большими записями (обычно с ключами DNSSEC или записями TXT), прочитайте об устранении неполадок с большими ответами.

Возврат неправильных ответов для домена

Существует множество причин, по которым Google Public DNS может возвращать неверные ответы. попробуйте любое из следующих действий, которые кажутся возможными, учитывая ваше знание предметной области.

Если серверы для домена недавно изменились

Особенно если в домене есть новые DNS-серверы или новый регистратор DNS, Google Public DNS может возвращать старые (но не просроченные) кэшированные ответы. Используйте Flush Cache (документация), чтобы очистить зарегистрированный домен и конкретное доменное имя, возвращающее устаревший ответ.

Если вы по-прежнему получаете устаревшие ответы после очистки, запросите тип SOA RR для зарегистрированного домена на странице сведений dns.google. и проверьте порядковый номер зоны (первый номер в «Ответе» «данные»). Если вы иногда получаете разные серийные номера, возможно, некоторые авторитетные серверы имен обслуживают устаревшие данные, и оператор DNS для домена должен решить эту проблему.

Если адреса домена сети доставки контента (CDN) находятся далеко

Если есть более близкий адрес, который должен был быть возвращен, возможно, авторитетные серверы имен неправильно реализуют клиентскую подсеть EDNS (ECS). Операторы DNS домена должны подтвердить, что они соблюдают все рекомендации на этой странице.

Если ваши приложения видят адреса, отличные от веб-результатов dns.google

Если веб-сайт dns.google заблокирован или показывает очень разные результаты, сначала убедитесь, что вы используете Google Public DNS. Если это так, разные ответы могут быть связаны с перехватом DNS авторизованным порталом Wi-Fi, вредоносным ПО на вашем маршрутизаторе, вашим интернет-провайдером или его сетями. См. инструкции по устранению неполадок при блокировке и взломе.

Разрешение доменов выполняется слишком медленно

Хотя такие инструменты, как traceroute и ping, сообщают о сетевых задержках, они не измеряют скорость разрешения DNS и помогают только при попытке найти место задержек или подтвердить доступность сети. Google не блокирует ICMP или случайный UDP для общедоступных IP-адресов DNS Google, но существуют ограничения на скорость ответов ICMP об ошибках, и трафик ICMP может быть лишен приоритета в сетях Google.

Определить метро, ​​обслуживающее ваши запросы

Сетевое расстояние между вашим устройством и распознавателем Google Public DNS напрямую влияет на скорость разрешения. Мы реализуем опцию идентификатора сервера имен, чтобы сообщать код аэропорта метро, ​​где обрабатывается DNS-запрос. Если метро находится далеко от вашего местоположения, задержка запроса будет выше. Это может быть вызвано различными причинами, в том числе неоптимальной маршрутизацией между вашей сетью и Google или отсутствием пропускной способности в ближайшем городе.

Чтобы найти код аэропорта, вы можете сделать запрос к нашим преобразователям DNS с установленным идентификатором сервера имен (NSID) опции EDNS. Ответ будет в формате gpdns-. Выполните следующую команду, чтобы узнать, из какого метро исходит ваш ответ:

macOS или Linux

Разрешение по IPv6 медленнее

Если задержки разрешения для IPv6 значительно больше, чем для IPv4, подключение IPv6 между вашим интернет-провайдером и Google может быть неоптимальным.Интернет-провайдеры, взаимодействующие с Google, должны проверять гораздо большее количество переходов в выходных данных трассировки IPv6 (см. доступ к общедоступным DNS-серверам Google) или другие проблемы с маршрутизацией BGP, отображаемые на их панели управления интернет-провайдером, и отправлять электронное письмо в NOC Google, если их маршрутизация IPv6 оказывается другое метро, ​​чем IPv4.

Нет ответа на (некоторые) мои DNS-запросы

Отбрасывание очень небольшой доли UDP-запросов к DNS является нормальным явлением, но если вы видите отбрасывание одного процента или более ваших запросов, используйте инструмент тестирования DNS, аналогичный описанному в предыдущем разделе.

Если инструмент тестирования DNS показывает большое количество запросов без ответа (и особенно если ping и traceroute не показывают сравнимую частоту отбрасывания), проверьте, генерирует ли ваш IP-адрес более 1000 запросов в секунду, что может привести к ограничению скорости. Если это так, вы можете запросить увеличение лимита скорости в нашем трекере ошибок.

Блокировка и перехват DNS

Если вы не получаете никаких ответов на DNS-запросы (но страница dns.google работает), возможно, UDP- и TCP-запросы заблокированы или перехвачены. Выполните эти команды, чтобы проверить, достигают ли запросы UDP и TCP общедоступного DNS Google:

Окна

macOS или Linux

Если вывод первой команды показывает "Спасибо за использование Google Public DNS". ваши UDP-запросы достигают Google Public DNS; если вывод второй команды включает в себя location.publicdns.goog. ваши TCP-запросы также достигают Google.

Если в выходных данных отображается NXDOMAIN, значит, вы обращаетесь к другому преобразователю DNS. Если выходные данные показывают тайм-аут, DNS-запросы к Google Public DNS блокируются. Используйте команды UDP или DNS traceroute в следующем разделе, чтобы увидеть, где может происходить перехват или блокировка.

Убедитесь, что вы подключаетесь к общедоступным DNS-серверам Google

Если вы не можете открыть домашнюю страницу dns.google, возможно, возникла проблема с сетью или блокировка, из-за которой вы не можете получить доступ к Google Public DNS.

Если ваша система настроена на использование Google Public DNS в качестве преобразователя DNS, вам может потребоваться заменить имя dns.google в следующих командах на IP-адреса Google Public DNS. Попробуйте сначала использовать имя, а если не получится, используйте 8.8.8.8 или другой адрес.

Откройте окно терминала с помощью командной строки и выполните следующие команды traceroute:

Окна

Отслеживание маршрутизации с помощью эхо-запроса ICMP:

Чтобы проверить подключение IPv6:

macOS или Linux

Отслеживание маршрутизации с UDP-пакетами, отличными от DNS:

Чтобы проверить подключение IPv6:

Если ваша система говорит, что у вас нет разрешения на запуск traceroute, используйте команду sudo для ее запуска:

Если в последней строке вывода не указан общедоступный IP-адрес Google DNS (8.8.8.8, 8.8.4.4 или IPv6-адрес, начинающийся с 2001:4860:4860), может проблема с сетью, которая не позволяет вам связаться с Google.

В системах, отличных от Windows, повторите приведенные выше команды с параметром -I или -U, чтобы использовать пакеты ICMP или UDP-пакеты, отличные от DNS, отправляемые на порт DNS (53). Если параметр -I не распознается, попробуйте выполнить команду ping для отправки ICMP:

macOS или Linux

Команду dnstraceroute инструментов тестирования DNS farrokhi/dnsdiag, описанную в разделе Слишком медленное разрешение доменов, можно использовать для отслеживания маршрута реальных запросов DNS (даже в Windows).

Если некоторые из этих команд работают, а другие возвращают сетевые ошибки или тайм-ауты, сетевая фильтрация может препятствовать доступу к Google Public DNS. Обратитесь к сетевому администратору или в службу поддержки интернет-провайдера, чтобы подтвердить это.

Если ни одна из этих команд не выполнена успешно, обратитесь к своему (вышестоящему) интернет-провайдеру или, если вы являетесь интернет-провайдером, который связан с Google, свяжитесь с Google NOC. Последняя строка вывода traceroute, в которой нет трех звездочек * * * (показывая одинаковые тайм-ауты), может указывать на то, где возникает проблема.

Если не указано иное, содержимое этой страницы предоставляется по лицензии Creative Commons Attribution 4.0, а образцы кода — по лицензии Apache 2.0. Подробнее см. в Правилах сайта Google Developers. Java является зарегистрированным товарным знаком Oracle и/или ее дочерних компаний.

Или в Mozilla Firefox:

Ответить

Очистить кеш браузера, файлы cookie и сбросить кеш SSL

Чтобы очистить кеш SSL в Windows 10 или 11:

  1. Перейдите в Панель управления -> Свойства обозревателя;
  2. Перейдите на вкладку "Контент";
  3. Нажмите кнопку "Очистить состояние SSL".
  4. Появится сообщение «Кэш SSL успешно очищен»;
  5. Перезапустите браузер и проверьте, сохраняется ли ошибка ERR_SSL_PROTOCOL_ERROR.

Отключить сторонние расширения браузера

Мы рекомендуем отключать (удалять) сторонние расширения браузера, особенно анонимайзеры, прокси, VPN, антивирусные расширения и другие подобные надстройки, которые могут мешать трафику на целевой веб-сайт. Вы можете просмотреть список включенных расширений Chrome в «Настройки» -> «Дополнительные инструменты» -> «Расширения» или перейти на chrome://extensions/ . Отключите все подозрительные расширения.

Проверьте настройки антивируса и брандмауэра

Если на вашем компьютере установлен антивирус или брандмауэр (часто он встроен в антивирус как модуль), они могут блокировать доступ к веб-сайтам. Чтобы понять, блокирует ли ваш антивирус или брандмауэр доступ к сайту, попробуйте на время приостановить их работу.

Проверьте настройки даты и времени

Убедитесь, что вы правильно установили время и часовой пояс. Если время постоянно сбрасывается, см. статью «Windows показывает неправильное время после перезагрузки».

Обновить корневые сертификаты Windows

Если ваш компьютер находится в изолированном сегменте сети, давно не обновлялся или на нем отключено автоматическое обновление, возможно, на нем нет новых доверенных корневых сертификатов (TrustedRootCA). Мы рекомендуем всегда устанавливать последние обновления безопасности в Windows.

Отключить поддержку протокола QUIC

Проверьте, какие протоколы TLS/SSL поддерживаются вашим браузером и веб-сервером

Интернет-служба SSL Labs вернет список протоколов и наборов шифров, поддерживаемых вашим браузером. В моем примере Chrome поддерживает только TLS 1.3 и TLS 1.2. Все остальные протоколы (TLS 1.1, TLS 1.0, SSL3 и SSL 2) отключены. Ниже приведен список поддерживаемых методов шифрования.

Наборы шифров (в порядке предпочтения)

  • TLS_AES_128_GCM_SHA256
  • TLS_CHACHA20_POLY1305_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA

Get-TlsCipherSuite | Формат-Таблица-Свойство CipherSuite, Имя

Проверьте, все ли версии TLS/SSL, поддерживаемые веб-сайтом, доступны в вашем браузере.

В этом примере видно, что сайт не поддерживает TLS 3.1, SSL 3.0 и SSL 2.0. Также сравните список Cipher Suite.

Если этот метод шифрования не поддерживается вашим браузером, вам может потребоваться включить его в Windows.

Включить поддержку устаревших протоколов TLS/SSL

И последнее — может случиться так, что для решения проблемы достаточно включить поддержку устаревших протоколов TLS и SSL. В большинстве случаев он самый действенный, но я намеренно перенес этот пункт в конец статьи. Я объясню почему.

В современных браузерах и операционных системах устаревшие и уязвимые протоколы SSL/TLS по умолчанию отключены (SSL 2.0, SSL 3.0 и TLS 1.1). В настоящее время для соединений SSL рекомендуется использовать только TLS 1.2 или TLS 1.3.

Если веб-сервер (сайт) использует более старую версию протокола SSL/TLS, чем поддерживается вашим клиентом (браузером), пользователь увидит ошибку при установлении безопасного соединения ERR_SSL_VERSION_OR_CIPHER_MISMATCH . Эта ошибка появляется, если клиент на этапе рукопожатия TLS обнаружил, что сайт использует протокол шифрования или длину ключа, которые не поддерживаются вашим браузером. Выше мы показали, как определить набор протоколов и шифров, поддерживаемых сервером.

Чтобы разрешить использование устаревших версий протоколов SSL/TLS в Windows (пожалуйста, еще раз обратите внимание, что это небезопасно!):

Если ни один из этих способов не помог избавиться от ошибки «Этот сайт не может обеспечить безопасное соединение», попробуйте следующее:

  • Убедитесь, что в файле C:\Windows\System32\drivers\etc\host нет статических записей. Файл hosts можно использовать в Windows, помимо прочего, для блокировки доступа к доменам и веб-сайтам: Get-Content $env:SystemRoot\System32\Drivers\etc\hosts ;
  • Попробуйте использовать общедоступный DNS-сервер, например DNS-серверы Google. В настройках сетевого подключения укажите IP-адрес 8.8.8.8 в качестве предпочтительного адреса DNS-сервера;
  • В Панели управления -> Свойства обозревателя убедитесь, что уровень безопасности для зоны "Интернет" установлен на "Средний-высокий" или "Средний". Если выбрано значение «Высокий», некоторые соединения SSL могут быть заблокированы вашим браузером;
  • Возможно, проблема связана с сертификатом сайта. Проверьте его с помощью онлайн-проверки SSL;
  • Если на вашем компьютере используется VPN или прокси-сервер настроен в настройках Windows, попробуйте отключить их;
  • Убедитесь, что в Chrome включен TLS 1.3. Перейдите в раздел настроек ( chrome://flags ) в адресной строке. Найдите параметр TLS 1.3. Убедитесь, что для него установлено значение «Включено» или «По умолчанию». Если он отключен, включите его;
  • Если вы используете одну из устаревших версий ОС (Windows XP или Windows 7), установите браузер Mozilla Firefox вместо Chrome. В отличие от движков на основе Chromium, Firefox использует собственные модули реализации для протоколов шифрования SSL/TLS, а не встроенные в Windows.

Пользователи Windows 8, 8.1 и 10 иногда не могут получить доступ к некоторым веб-сайтам в своих веб-браузерах. При доступе к некоторым веб-сайтам пользователю могут быть представлены сообщения «Не удалось найти DNS-адрес сервера».

Что именно означает «не удалось найти DNS-адрес сервера»?

Каждый веб-сайт в Интернете имеет числовой IP-адрес, связанный с понятным человеку доменным именем. Этот IP-адрес используется для обмена данными между пакетами, и если DNS (сервер), который действует как транслятор, не может получить IP-адрес сайта, который вы пытаетесь посетить, возникает эта ошибка.

Как правило, эта проблема наблюдается, когда домен, к которому вы пытаетесь получить доступ, не работает, DNS-сервер не работает или ваш локальный кеш возвращает старый IP-адрес, что обычно происходит после изменения IP-адреса на уровне сервера.

В этом руководстве я расскажу вам, как решить эту проблему, однако, если проблема связана с неправильной настройкой сервера посещаемого вами сайта, эти методы не помогут.

Способ 1. Обновите DNS

Этот метод приобрел большую популярность, поэтому пользователю следует обновить DNS-сервер до сервера Google, так как он более надежен.

Способ 2. Поиск IP-адреса и добавление в файл hosts

Этот метод может работать, а может и нет, так как он по-прежнему требует использования DNS-серверов для запроса IP-адреса, но он может дать немного больше информации о проблеме. Если вы все еще можете получить доступ к другим веб-сайтам, попробуйте открыть следующая ссылка

Как правило, все IP-адреса, которые вы видите, должны быть одинаковыми, но если это не так, то наиболее часто используемые являются правильными (скопируйте их).

Сохраните файл и попытайтесь получить доступ к сайту. Это будет искать маршрут локально, прежде чем запрашивать ваш DNS, потому что мы уже указали домену его IP-адрес. Если сайт по-прежнему не открывается, возможно, это проблема с сайтом. Вы также можете попробовать открыть сайт со своего мобильного телефона, чтобы исключить возможность текущей конфигурации/кешей устройства, или написать в комментариях ниже название сайта, и мы проверим его для вас. Кроме того, если это не сработает, в крайнем случае попробуйте сбросить свой IP-адрес.

Способ 3. Сброс настроек сети

Возможно, ваш компьютер не был правильно настроен для использования правильной комбинации конфигураций сети, из-за чего возникает ошибка при попытке просмотра Интернета с помощью Google Chrome. Поэтому на этом этапе мы полностью сбросим настройки сети. Для этого:

  1. Нажмите «Windows» + «R», чтобы открыть окно запуска, и введите «cmd».
  2. Нажмите одновременно клавиши «Ctrl» + «shift» + «Enter», чтобы предоставить административные разрешения и запустить командную строку. Открытие командной строки
  3. В командной строке введите следующие команды одну за другой и нажмите «Ввод» после каждой, чтобы выполнить их.
  4. После выполнения всех этих команд проверьте, сохраняется ли сообщение об ошибке.
  5. Способ 4. Перезапустите службу DNS

    Возможно, произошел сбой службы DNS, когда вы пытались выйти в Интернет в браузере Chrome, и из-за этого на экране появилось сообщение об ошибке. Поэтому на этом этапе мы перезапустим службу DNS, а затем проверим, решит ли это проблему. Для этого:

    1. Нажмите кнопку «Windows» + «R» на клавиатуре, чтобы открыть окно «Выполнить».
    2. Введите «services.msc» и нажмите «Ввод», чтобы открыть окно управления службами. Запуск Services.msc
    3. В диспетчере служб прокрутите список служб и щелкните правой кнопкой мыши службу «DNS-клиент». Перезапуск службы DNS-клиента
    4. Выберите из списка вариант «Перезапустить» и дождитесь перезапуска службы.
    5. После перезапуска службы проверьте, сохраняется ли проблема.
    6. Способ 5. Переустановите Chrome

      Иногда проблема может быть связана не с настройками вашей сети, а с самим браузером. Поэтому на этом этапе мы сначала удалим Chrome с нашего компьютера, а затем снова загрузим его с официального сайта и установим. Для этого:

      1. Перед началом процесса удаления обязательно закройте все вкладки и окна Chrome на своем компьютере.
      2. Нажмите на меню "Пуск" и выберите параметр настроек.
      3. Теперь нажмите на приложения.
      4. В разделе "Приложения и функции" найдите и нажмите Google Chrome.
      5. Нажмите кнопку удаления. Нажав кнопку "Удалить"
      6. Подтвердите это, нажав кнопку "Удалить" еще раз.
      7. Чтобы удалить информацию из профиля, например закладки или историю, установите флажок "Также удалить данные просмотра".
      8. Нажмите «Удалить» в последнем запросе, после чего должен начаться процесс удаления браузера.
      9. Убедитесь, что браузер полностью удален, прежде чем переходить к его повторной установке.
      10. Теперь мы переустановим программное обеспечение, следуя приведенным ниже инструкциям.

        1. Загрузите установочный файл отсюда.
        2. В зависимости от вашего браузера вам может быть предложено выбрать вариант «Выполнить или сохранить», нажмите «Сохранить» и запустите исполняемый файл, как только он будет загружен.
        3. Запустите Chrome и убедитесь, что он является браузером по умолчанию, прежде чем начинать работу в Интернете, потому что он работает лучше, если он установлен по умолчанию.
        4. Проверьте, сохраняется ли проблема.

        Способ 6. Настройка открытия новой страницы

        В некоторых случаях вредоносное расширение браузера или какая-либо другая страница могли настроить ваш браузер на открытие определенного набора страниц при его запуске, из-за чего может выявиться эта конкретная проблема. Поэтому на этом этапе мы будем настраивать Chrome так, чтобы он просто открывал новую вкладку при запуске. Для этого:

        1. Нажмите "Три точки" в правом верхнем углу и выберите "Настройки".
        2. В настройках Chrome выберите параметр "Внешний вид" на левой панели.
        3. В настройках внешнего вида выберите параметр «Открыть новую вкладку» под заголовком «При запуске».
        4. Закройте Chrome и перезапустите его. Нажав на кнопку «Открыть новую вкладку»
        5. Проверьте, помогла ли новая настройка исправить сообщение об ошибке.
        6. Способ 7: удалить файлы из папки ETC

          Для некоторых людей ошибка возникает из-за того, что в самой важной папке операционной системы Windows присутствуют дополнительные файлы. Если «и т. д.» папка внутри папки System 32 содержит дополнительные файлы, может появиться сообщение об ошибке. Поэтому на этом шаге мы удалим эти файлы с нашего компьютера, но прежде чем мы продолжим, убедитесь, что вы сделали полную резервную копию всех ваших файлов, потому что иногда это может пойти не так.

          1. Нажмите кнопки «Windows» + «E» на клавиатуре, чтобы запустить Проводник. Проводник Windows
          2. В проводнике перейдите к следующему местоположению.
          3. Нажмите «Ctrl» + «A», чтобы выбрать все файлы, находящиеся в папке, и нажмите «Shift» + «Delete», чтобы удалить их с компьютера.
          4. Проверьте, не устранило ли проблему удаление этих файлов.
          5. Способ 8. Обновите сетевой адаптер и установите отсутствующие драйверы

            Возможно, вы стали жертвой отсутствующего или устаревшего сетевого драйвера, из-за которого на вашем компьютере возникает эта проблема. Поэтому на этом этапе мы упростим вам задачу, загрузив приложение, которое автоматически сканирует ваш компьютер на наличие отсутствующего программного обеспечения драйвера, а затем автоматически устанавливает его для вас, если вы выберете премиум (платный) вариант или оно идентифицирует отсутствующее программное обеспечение. для вас, и вы можете установить его самостоятельно. Для этого:

            1. Сначала загрузите программное обеспечение DriverEasy и запустите исполняемый файл, чтобы установить его.
            2. Просто запустите драйвер и выберите «Сканировать сейчас», чтобы запустить сканирование на наличие неисправных, устаревших или отсутствующих драйверов на вашем компьютере. Нажмите кнопку "Сканировать сейчас".
            3. Затем нажмите кнопку обновления для отмеченного драйвера сетевого адаптера. Это автоматически загрузит правильную версию сетевого драйвера. После этого вы можете установить его вручную (используя бесплатную версию).
            4. Если вы выберете «Обновить все», будут автоматически загружены и установлены соответствующие версии всех драйверов, которые отсутствуют или устарели на вашем ПК. Но вам нужна версия Pro для этого. Вы получите уведомление об обновлении, как только выберете вариант «Обновить все».
            5. Теперь перезагрузите компьютер и проверьте, сохраняется ли ошибка.
            6. Способ 9. Изменение настроек DNS-сервера

              Неправильная настройка параметров DNS-сервера также может привести к недоступности Интернета. Поэтому вам нужно иметь соответствующие настройки DNS-сервера, чтобы удалить эту ошибку. Чтобы устранить эту проблему, выполните следующие действия:

              Способ 10. Очистка кеша DNS

              Когда вы посещаете веб-сайт, который требует от вас входа в свою учетную запись, Windows автоматически сохраняет адреса всех IP-адресов, которые вы посещаете, чтобы при следующем посещении того же веб-сайта браузер мог самостоятельно заполнить данные вашей учетной записи. и открывает веб-сайт в более быстром темпе. Но если конкретный кеш устаревает или устаревает, это может привести к сбоям в работе и может помешать вам получить доступ к Интернету. Поэтому на этом этапе мы будем очищать кеш DNS. Для этого:

              1. Одновременно нажмите кнопки «Windows» + «R» на клавиатуре.
              2. Затем введите «cmd» и одновременно нажмите «Ctrl» + «Shift» + «Enter», и на экране появится окно команды администратора. Запуск командной строки
              3. Введите следующие команды одну за другой в определенном порядке и нажмите «Ввод» после каждой, чтобы выполнить их.
              4. Теперь, когда вы выполнили эти команды, проверьте, сохраняется ли проблема.
              5. Способ 11. Попробуйте использовать VPN

                Вы можете столкнуться с ошибкой «Не удалось найти DNS-адрес сервера» на некоторых веб-сайтах из-за проблем с местоположением. Некоторые веб-сайты не позволяют пользователям из определенной демографической группы получить доступ к своим веб-сайтам, из-за чего иногда возникает ошибка, и поэтому вы можете использовать VPN для доступа к этим веб-сайтам. Для этой цели вы должны использовать VPN с известной репутацией. Если вы не уверены, что можете использовать NordVPN. Чтобы использовать его, выполните следующие шаги:

                1. Загрузите NordVPN на свой компьютер (вы также можете получить купоны на скидку и промокоды).
                2. Запустите NordVPN, а затем откройте его.
                3. Теперь подключитесь к любому серверу по всему миру, выбрав страну, с которой вы хотите установить соединение.
                4. Скорее всего, это поможет решить проблему.

                Способ 12. Используйте команды Chrome

                Неудивительно, что в Chrome есть собственное хранилище DNS-кэша, которое используется для ускорения процесса серфинга в Интернете, но иногда это может привести к укусу пользователя, если он поврежден. Поэтому на этом этапе мы будем использовать внутренние команды Chrome для сброса этого кеша, а затем проверим, исчезло ли сообщение об ошибке. Для этого:

                Способ 13. Удаление службы прогнозирования

                При вводе запроса в строке поиска Chrome выдает пару рекомендаций, которые большинство людей ищут в Интернете. Эта функция, какой бы полезной она ни была, иногда может мешать работе браузера и вызывать ошибку, когда пользователь пытается использовать Chrome. Поэтому на этом этапе мы отключим эту функцию. Для этого:

                1. Нажмите "три точки" в правом верхнем углу и выберите "Настройки".
                2. В настройках выберите параметр «Синхронизация и службы Google». Нажмите "Синхронизация и сервисы Google" в настройках Chrome.
                3. В этом случае нажмите на переключатель «Автозаполнение поисковых запросов и URL-адресов», чтобы отключить его.
                4. После отключения функции интеллектуального поиска проверьте, сохраняется ли проблема.
                5. Способ 14. Запуск средства устранения сетевых неполадок

                  В некоторых случаях некоторые основные функции Windows могли работать со сбоями, из-за чего эта конкретная проблема возникает при поиске в Google Chrome. Поэтому на этом этапе мы запустим средство устранения неполадок сети, чтобы исправить это. Для этого:

                  1. Нажмите «Windows» + «I», чтобы запустить настройки.
                  2. Выберите параметр «Обновление и безопасность», а затем нажмите кнопку «Устранение неполадок» в левой части окна. Нажав на опцию «Обновление и безопасность»
                  3. Нажмите «Подключения к Интернету», а затем нажмите «Запустить средство устранения неполадок». Запуск средства устранения неполадок с подключением к Интернету
                  4. Следуйте инструкциям на экране, чтобы полностью запустить средство устранения неполадок, и проверьте, сохраняется ли сообщение об ошибке после завершения работы средства устранения неполадок.
                  5. Способ 15: переустановка сетевых драйверов

                    Иногда сетевые драйверы, используемые компьютером, могут быть недостаточно оборудованы для формирования стабильного подключения к Интернету, из-за чего в Google Chrome появляется это сообщение об ошибке. Чтобы обойти эту проблему, мы удалим драйвер и установим его автоматически из Центра обновления Windows.

                    1. На клавиатуре одновременно нажмите клавиши «Windows» + «R», чтобы открыть окно запуска.
                    2. Введите «devmgmt.msc» в пустое поле и нажмите Enter. Введите devmgmt.msc и нажмите Enter, чтобы открыть диспетчер устройств.
                    3. На вашем экране откроется окно диспетчера устройств, разверните список «Сетевые адаптеры» и щелкните правой кнопкой мыши интернет-адаптер, используемый вашим компьютером.
                    4. Нажмите кнопку «Удалить», чтобы удалить драйвер с вашего компьютера. Удаление сетевых драйверов
                    5. Перезагрузите компьютер и проверьте, устанавливается ли драйвер автоматически.
                    6. Если это не так, запустите средство Driver Easy, чтобы снова установить его, следуя инструкциям, приведенным выше.
                    7. Способ 16: отключить настройки прокси-сервера

                      Возможно, ваш компьютер настроен на запуск прокси-соединения, и из-за этого может возникнуть ошибка. Поэтому на этом этапе мы отключим настройки прокси-сервера, а затем проверим, устранит ли это ошибку. Для этого:

                      1. Одновременно нажмите клавиши Windows + R на клавиатуре.
                      2. На экране появится диалоговое окно запуска, введите «MSConfig» в пустое поле и нажмите OK. msconfig
                      3. Выберите вариант загрузки в окне конфигурации системы, а затем установите флажок «Безопасная загрузка».
                      4. Нажмите "Применить" и нажмите "ОК".
                      5. Перезагрузите компьютер сейчас, чтобы загрузиться в безопасном режиме.
                      6. Опять же, одновременно нажмите те же клавиши «Windows» + «R», введите «inetcpl.cpl» в диалоговом окне «Выполнить» и нажмите «Enter», чтобы выполнить его. Диалог запуска: inetcpl.cpl
                      7. На экране появится диалоговое окно свойств Интернета, выберите в нем вкладку «Подключения».
                      8. Снимите флажок "Использовать прокси-сервер для вашей локальной сети" и нажмите "ОК". Отключить использование прокси-серверов
                      9. Снова откройте MSConfig и на этот раз снимите флажок с параметра безопасной загрузки, сохраните изменения и перезагрузите компьютер.
                      10. Проверьте, сохраняется ли ошибка «Не удается найти DNS-адрес сервера в Google Chrome».
                      11. Способ 17: сброс настроек Internet Explorer

                        Internet Explorer используется компьютером для связи с серверами Windows и в основном используется для всех задач операционной системы, которые включают подключение к Интернету, а также для системных приложений. Однако иногда он может дать сбой и вызвать эту проблему, которую мы решим, полностью сбросив его.

                        1. Одновременно нажмите клавиши Windows + R на клавиатуре, чтобы открыть диалоговое окно запуска.
                        2. Введите «inetcpl.cpl» здесь и нажмите «Enter», чтобы открыть его. Диалог запуска: inetcpl.cpl
                        3. Перейдите на вкладку "Дополнительно" и нажмите кнопку "Сброс" в нижней части окна. Сброс настроек Internet Explorer
                        4. После сброса настроек браузера Internet Explorer нам также потребуется сбросить настройки браузера Chrome.
                        5. Теперь откройте браузер Chrome и нажмите "Три точки" в правом верхнем углу.
                        6. Прокрутите вниз и нажмите "Дополнительно".
                        7. Нажмите «Восстановить исходные значения по умолчанию» в нижней части экрана.Google Chrome Сбросить настройки
                        8. После завершения сброса перезапустите Windows и проверьте, сохраняется ли сообщение об ошибке.
                        9. Если в окне браузера пользователя появляется пустое сообщение о том, что «не удается найти DNS-адрес сервера», это сигнализирует об ошибке DNS, требующей вашего немедленного внимания. Отсутствие доступа к Интернету или определенным сайтам может оказать непосредственное негативное влияние на бизнес. Устранение неполадок с DNS может стать головной болью для поставщиков управляемых услуг (MSP), но крайне важно, чтобы они понимали все тонкости DNS и имели готовое решение по мере необходимости.

                          Как устранить проблемы с DNS, если вы не уверены, в чем они заключаются? В этой статье описаны необходимые базовые знания о DNS, способы диагностики проблем с DNS (включая определение того, что на самом деле не является проблемами с DNS) и способы решения основных проблем с DNS.

                          Почему возникает ошибка DNS?

                          Ошибки DNS возникают главным образом из-за того, что вы не можете подключиться к IP-адресу, сигнализируя о том, что вы, возможно, потеряли доступ к сети или Интернету. DNS означает систему доменных имен. Это сеть серверов, которая отслеживает буквенно-цифровые имена для каждого подключенного к Интернету устройства и каждого веб-сайта в мире и сопоставляет их с правильными числовыми IP-адресами.

                          DNS – это иерархическая древовидная структура данных. Вверху находятся корневые серверы имен. Сетевые администраторы могут делегировать и субделегировать несколько уровней вниз. Каждая зона DNS имеет авторитетный сервер, который отвечает на запросы только оригинальными динамическими данными; неавторитетные серверы могут иметь только кэши. В случае возникновения ошибки DNS вам, возможно, придется провести расследование на нескольких разных уровнях, чтобы точно понять, что вызывает проблему и как вы можете быстро вернуть пользователей в онлайн.

                          Основные способы устранения проблем с DNS

                          Веб-браузеры склонны винить в любых проблемах с подключением проблемы с DNS. Например, сбой физического разъема маршрутизатора не является «проблемой DNS», но ваш браузер может указать вам, что это так. Если пользователь жалуется на проблему с DNS, вы можете сначала выполнить для него основные действия по устранению неполадок. Это может решить многие проблемы, прежде чем вы потратите время на более глубокое исследование сети.

                          • Проверьте кабели и соединения. Если у вас проводное соединение, убедитесь, что все подключено правильно. Если вы находитесь в беспроводной сети, убедитесь, что ваш Wi-Fi включен и вы подключены. Убедитесь, что маршрутизатор подключен и работает.
                          • Перезагрузите маршрутизатор. Подождите минуту, прежде чем снова включить его, и подождите, пока индикаторы не перестанут мигать, прежде чем пытаться подключиться.
                          • Запустите сканирование на наличие вредоносных программ. В некоторых случаях вирус может блокировать доступ в Интернет. В этом случае у вас могут возникнуть более серьезные проблемы, которые нужно решить, прежде чем решать проблемы IP-подключения.
                          • Проверьте сайт. Если у вас возникли проблемы с доступом к определенному веб-сайту (своему или чужому), убедитесь, что проблема связана с DNS, а не с самим сайтом. Один из способов сделать это — использовать такой веб-сайт, как DownForEveryoneOrJustMe. Точно так же вы можете выполнить команду ping для своего веб-адреса с помощью командной строки. Если он отвечает, это означает, что сайт работает, и вы просто не можете получить к нему доступ, что говорит о том, что проблема действительно связана с вашим DNS. Если результатом проверки связи является "запрос не может найти хост", это означает, что веб-сайт не работает, что не обязательно связано с проблемой DNS.

                          В чем проблема с DNS?

                          Если базовые действия по устранению неполадок не помогли решить ваши проблемы, возможно, пришло время заняться более подробным устранением неполадок DNS. Ниже приведены некоторые распространенные проблемы с DNS, которые могут вызывать блокировку:

                          Как исправить DNS-сервер, который не отвечает?

                          Если ваш DNS-сервер Windows по-прежнему не отвечает, возможно, потребуется более глубокое исследование, чтобы понять ошибки или неверные настройки, которые могут вызывать проблемы. Для этого вам может понадобиться использовать nslookup, инструмент, встроенный в Windows (который обычно используется хакерами для зондирования DNS). Nslookup является неотъемлемой частью различных программных решений, включая удаленный мониторинг и управление SolarWinds, и вы можете использовать команды устранения неполадок DNS nslookup для определения конкретных внутренних или внешних проблем.

                          Nslookup был одним из первых средств диагностики DNS. Он доступен как в интерактивном, так и в неинтерактивном режимах. Для наших целей, как правило, удобнее интерактивный режим. Чаще всего его можно использовать для подтверждения как вашего IP-адреса, так и адреса DNS-сервера, на котором вы находитесь. Чтобы узнать IP-адрес хоста, введите в командной строке nslookup, а затем укажите свой домен. Скорее всего, это вернет локальный сервер. Чтобы найти авторитетный сервер, установите тип запроса NS и введите доменное имя.

                          Эти команды позволяют просматривать записи DNS. Вот наиболее распространенные и важные типы записей DNS, которые могут вызывать проблемы с DNS:

                          • Запись A. Записи A — это самые основные данные DNS, которые сопоставляют домен с IP-адресом. Чтобы проверить запись A, используйте команду nslookup, за которой следует домен. Затем вы можете подтвердить, что домен переходит на правильный IP-адрес и наоборот. Запись AAAA аналогична записи A, но для IPv6.
                          • CNAME: CNAME означает каноническое имя. Эта запись используется для указания одного доменного имени на другое доменное имя. (Последнее доменное имя предположительно будет иметь запись A, указывающую на IP-адрес.) Записи CNAME иногда могут вызывать проблемы с электронной почтой. В любом случае убедитесь, что домены указывают на нужные места. Для nslookup используется команда set type=cname, за которой следует ваш домен.
                          • MX: запись почтового обмена (MX) направляет электронную почту из вашего домена на хост-сервер. Если это неверно, это может объяснить, почему у пользователей возникают проблемы с отправкой электронной почты на адреса в вашем домене. Убедитесь, что MX соответствует вашему домену (запись A или AAAA), а не запись CNAME. Это команда «set type=mx», за которой следует ваш домен.

                          Каковы наиболее распространенные причины проблем с DNS?

                          Что касается производительности сети, то несколько распространенных проблем могут повлиять на подключение пользователей и привести к ошибкам DNS. При устранении проблем с DNS вы можете рассмотреть, как следующие факторы могут повлиять на ваших клиентов:

                          1) Время жизни (TTL)

                          Время жизни – это дата истечения срока действия, присваиваемая данным в сети. Когда кэширующий (повторяющийся) сервер запрашивает у авторитетного сервера имен какие-либо записи DNS, авторитетный сервер имен сообщает кэширующему серверу, как долго эти записи годны, что обычно составляет от нескольких минут до одного дня. Пока срок жизни не истечет, сервер кэширования не будет снова запрашивать те же самые данные у полномочного сервера имен, но будет предполагать, что записи все еще в порядке.

                          Вы видите, как это может повлиять на проблемы с DNS. Если ваши записи DNS изменяются, но ваш TTL слишком высок, будет задержка, так как сервер кэширования продолжает отправлять неверные записи пользователям, пока не истечет TTL. С другой стороны, если значение TTL слишком низкое, авторитетный сервер имен может быть перегружен ненужными запросами.

                          Если вы планируете обновлять записи DNS, перед этим временно уменьшите значение TTL, чтобы пользователи быстро получали обновленные данные. Серверы иногда не распознают TTL менее 30 секунд; пять минут (300 сек.) — типичный короткий TTL.

                          Как правило, используйте короткие значения TTL для часто обновляемых записей и более длинные значения TTL для более устойчивых записей. Записи, которые редко изменяются и должны иметь более длительный срок жизни в день (86 400 с), включают MX и TXT.

                          2) Задержка DNS

                          Под задержкой понимается время, необходимое для передачи и возврата запросов. Когда пользователи жалуются на «сегодня медленный интернет», они говорят о высокой задержке. Проблемы с DNS могут быть большой причиной задержки.

                          Одним из основных факторов, влияющих на скорость вашей сети, является просто расстояние, которое должны пройти данные, но вы потенциально можете уменьшить задержку, проверив, имеют ли ваши DNS-серверы централизованную или децентрализованную структуру. Рассмотрите возможность использования других провайдеров, если все ваши DNS-серверы расположены на значительном расстоянии от ваших пользователей.

                          TTL также влияет на задержку. Как упоминалось ранее, сохраняйте высокие значения TTL для согласованных записей DNS, чтобы уменьшить количество ненужных запросов.

                          3) DDOS-атака

                          Если вы тщательно проверили свою сеть и не думаете, что проблемы на вашей стороне, это может быть проблема с DNS-серверами вашего интернет-провайдера. Позвоните им и сообщите. Если они подтвердят, что проблема с их DNS-серверами, не бойтесь проявлять настойчивость, пока проблема не будет решена.

                          Это может быть наихудший сценарий, но если внезапный всплеск трафика приведет к сбою вашего сайта, вы можете стать жертвой распределенной атаки типа "отказ в обслуживании". По сути, это проблема DNS в том смысле, что она перегружает серверы. Немедленно свяжитесь с вашим веб-хостом и попросите новый IP-адрес. Очистите журналы и убедитесь, что новые записи соответствуют новому IP-адресу.

                          Проблемы с DNS – это лишь один из типов проблем, которые могут прервать работу службы. Нужна помощь не только в устранении неполадок DNS? Прочую информацию по устранению неполадок можно найти в нашем центре ресурсов.

                          Читайте также: