DNSサーバーが.ioで終わるドメインを解決できないのはなぜですか？

2つのWindowsドメインコントローラーがあります。

10.10.10.10プライマリ（win 2008 r2）
10.10.10.20レプリカ（win 2012 r2）

2つ目は1つ目のレプリカとして構成されます。

週に1回程度、プライマリDCはほとんどの .ioドメインを否定的にキャッシュします。これにより、社内の誰も次のようなサイトにアクセスできなくなります。

chef.io
packer.io
yahoo.io
github.io

奇妙なことに、github.ioにあるようないくつかの.ioページにまだアクセスできます。

spuder.github.io/

解決策は、DNSサーバーにRDPを実行することdnscmd /clearcacheです。これで問題が7〜10日間修正されます。

さらなる症状

プライマリドメインコントローラーのみに影響します（セカンダリおよび他のドメインコントローラーはこれらのサイトを問題なく解決できます）
google dnsサーバーも機能する
通常、水曜日の午前11時頃に発生します。

私は窓にあまり慣れていませんが、これが私が試したものです

ログを見て、私は興味深く見える以下の行だけを見ます

8:15AM
The DNS server wrote version 4638 of zone 254.10.in-addr.arpa to file 254.10.in-addr.arpa.dns..in-addr.arpa to file 254.10.in-addr.arpa.dns.

8:16AM
A more recent version, version 4639 of zone 254.10.in-addr.arpa was found at the DNS server at 10.254.40.51. Zone transfer is in progress.ic replication between domain controllers in a common domain or forest. By installing multiple domain controllers in a domain running DNS Server, you can ensure that DNS will continue to work when a domain co

.ioドメインに前方参照ゾーンまたは逆引き参照ゾーンがないことを確認します
hostsファイルに.ioドメインをブロックするものがないことを確認します
ipconfig /displaydnsすべてのドメインコントローラーの出力を比較する

DNSキャッシュが予測どおりに破損し続ける理由を調べるために、他に調査できることはありますか？Zone Transerを実行するときにキャッシュを強制的にフラッシュできるWindows DNS設定はありますか

更新
水曜日の会議の直前に有線から無線に頻繁に切り替えるという事実に絞り込みました。ワイヤレスには、1つのWindows 2008 DNSサーバーと1つのWindows 2012 DNSサーバーがあります。2008サーバーがプライマリとして選択されると、問題が再発します。回避策はこれを実行することdnscmd /clearcacheです。2008サーバーは廃止されるので、この問題は自動的に修正されると思います。

domain-name-system windows-server-2008-r2 internal-dns

— Spuder
ソース

それはひどく具体的です。これは、ioTLDのネームサーバーデータが壊れているか、ディープパケットインスペクションポリシーにより、セカンダリDCと共有されていないアップストリームネットワークデバイスが混乱しているようです。プライマリDCに、そのTLDのアップストリームネームサーバーに干渉する可能性のあるゾーンがないことを確認します。（.、io、net、ac、uk、co.uk、ns13.net、nic.io、nic.ac、icb.co.uk、communitydns.net）サウンド愚かな、しかし、DNSのファイアウォールソリューションとしてのDCを使用しようとしたとき、人々は、時には非常に脳死のことを行います。

— Andrew B

もう1つのことは、DNSサーバーがローカル以外のルックアップをどのように実行するかを確認することです。DNSサーバーごとに、フォワーダーとルートヒントの設定を確認します。1つがフィルターされたフォワーダーを使用しており、もう1つがそれを使用していない場合、それは問題である可能性があります。または、フォワーダーが1つしかなく、ルートヒントのセットが不完全な場合は、そこから問題を検索している可能性があります。

— マーク

水曜日の午前11時にシステムで他に何が発生しますか。サーバーがこれらのドメインの検索に失敗する可能性があります（そして失敗をキャッシュします）。

— Calle Dybedahl 2015

したがって、問題はクライアントにあります。キャッシュをクリアするまで、一部の* .ioドメインはまったく解決されませんか？DNSコンソールを使用する場合、コンソールGUIはキャッシュ内のそれらの名前の正しいIPを表示しますか？

— ストロングライン2015年

DNSサーバーはフォワーダーを使用するように構成されていますか？

— マイクマルセリア2015

root.hintsファイルの更新を検討してください。たぶん、（何らかの理由で）.ioドメインを返さない古いルートネームサーバーを指している可能性があります。

たぶん、それらへのアクセスを妨げるルーティングの問題（つまり、それらが実行されているIP範囲をブラックホール化している）があり、その中のドメインを検索できないことがあります。これは私の賭けです-多分あなたは国またはIPブロックに対するファイアウォールルールを持っています。以下の私の結果を使用して、ファイアウォールを確認するか、.io TLDサーバーに対してdig / nslookupを実行します（Windowsのバイナリはhttp://www.isc.org/downloads/からダウンロードできます。

# dig +trace +identify git.io
...
io.                     172800  IN      NS      b0.nic.io.
io.                     172800  IN      NS      a0.nic.io.
io.                     172800  IN      NS      a2.nic.io.
io.                     172800  IN      NS      ns-a1.io.
io.                     172800  IN      NS      ns-a3.io.
io.                     172800  IN      NS      c0.nic.io.
...

これらすべてのDNSサーバーに直接到達できますか？たとえば、DNSサーバーはリストの最初のものを繰り返し使用する場合があります。このリストはある時点（現時点）で変更されていますが、.ioルートネームサーバーに到達できるかどうかを確認するための最初のポイントになるはずです。

# for i in b0.nic.io a0.nic.io a2.nic.io ns-a1.io ns-a3.io c0.nic.io; do host $i; done
b0.nic.io has address 65.22.161.17
b0.nic.io has IPv6 address 2a01:8840:9f::17
a0.nic.io has address 65.22.160.17
a0.nic.io has IPv6 address 2a01:8840:9e::17
a2.nic.io has address 65.22.163.17
a2.nic.io has IPv6 address 2a01:8840:a1::17
ns-a1.io has address 194.0.1.1
ns-a1.io has IPv6 address 2001:678:4::1
ns-a3.io has address 74.116.178.1
c0.nic.io has address 65.22.162.17
c0.nic.io has IPv6 address 2a01:8840:a0::17

フォワーダーを使用している場合は、それらのフォワーダーへのnslookupを直接テストしてください。戻らない場合は、それらを実行する人（ISP）に連絡してください。

====更新：更新を考えると、ISPを変更したときにそれが発生することに気付きますが、接続の1つがIPv6を使用しており、もう1つはIPv4のみに対応していると思いますか？IPv6戻りアドレスをキャッシュしている可能性がありますが、接続を切り替えると到達できなくなります。

— マイケルクリーガー
ソース