DNS 解析失败怎么排查和解决？

四步排查：1.确认是否 DNS 问题——ping IP 能通但 ping 域名不行 = DNS 问题；2.定位故障环节——dig +trace 逐级查询看卡在哪一级；3.检查本地——resolv.conf 配置、本地 DNS 缓存、hosts 文件覆盖；4.检查网络——防火墙是否封 UDP 53。常见原因：DNS 服务器宕机、TTL 过期记录被删、CNAME 指向不存在的域名、防火墙拦截。

追问

dig 和 nslookup 有什么区别？

dig 输出详细（TTL、权威服务器、耗时），支持 +trace 逐级追踪。nslookup 交互式，输出简洁但信息少。排查问题优先 dig。

NXDOMAIN 和 SERVFAIL 有什么区别？

NXDOMAIN = 域名不存在（权威服务器明确说没有），SERVFAIL = 服务器故障（超时/拒绝/DNSSEC 验证失败）。前者是正常响应，后者需要排查。

DNSSEC 验证失败怎么办？

检查 DS 记录是否正确发布、DNSKEY 是否轮换但 DS 未更新、系统时间是否正确。临时绕过：dig +nodnssec，不推荐生产环境。

内网 DNS 解析失败但公网正常？

检查内网 DNS 是否配了 forwarders、内网 zone 文件是否正确加载、是否有 Split DNS 配置不一致。常见坑：忘了配反向解析 PTR。

移动端 DNS 解析失败怎么排查？

切换 WiFi/蜂窝确认是否特定网络问题。运营商 DNS 劫持/过滤很常见，换 8.8.8.8 或 1.1.1.1 排除运营商问题。