@yuepao 建议可以工单咨询

@yuepao 问了下，上海和广州已经灰度了部分服务器，很快会全量。
北京和国外的节点貌似暂无灰度更新计划

相关同事排查确认，IOS17 的 doh 会额外携带 EDE 的 EDNS 扩展（ 15 Extended DNS Error ），而 dnspod 的 doh 对 dns 格式请求进行严格校验，不支持的 edns 扩展直接返回错误。
等相关同事后续看怎么兼容吧。

@cndns 阿里和腾讯是合规开展服务的，至于如何合规的就可以想象了，合规成本非常高。

@dingdangnao [流汗]doh 不是这样直接使用的，如果只是想访问产品主页，建议直接从官网进入。

如果要用 DoH 进行 DNS 查询，建议直接使用相关软件或浏览器 /操作系统中设置安全 DNS 。

如果想通过命令行方式通过 DoH 进行 DNS 请求，则必须带查询参数，有两种 API ，google 的 json API 和 RFC 8484 两种方式，而 RFC 8484 又分为 GET 和 POST 两种不同的方式，请求参数都不一样，可以参考： https://developers.google.com/speed/public-dns/docs/doh?hl=zh-cn

比如查询 dnspod.com 需要请求，如果是 json api 就是类似这样
curl -v "https://doh.pub/resolve?name=www.dnspod.com&type=a" 或
curl -v "https://doh.pub/dns-query?name=www.dnspod.com&type=a"

RFC 8484 GET 方式，其中 dns 参数是 dns 请求二进制数据进行了 base64 编码：
curl -v "https://doh.pub/dns-query?dns=AAABAAABAAAAAAAAA3d3dwZkbnNwb2QDY29tAAABAAE"

如果是 RFC POST 方式则是将 dns 请求的二进制数据放到 post 数据里

任何请求参数校验失败服务器会丢弃请求，前面的 nginx 自己回了 502

@dingdangnao 也可能是其他参数校验错误，如果参数都正常的话可以正常应答。

@dingdangnao 说错了，id 可以为 0 ，但是 answer 不能是 1 或其他值，必须是 0 ，否则会 502 。

@dingdangnao 看下是不是 dnsid 传了 0 ，目前这两个 IP 的 doh 不支持 dns id 为 0 的请求，会返回 502 。正常的 dig/kdig/浏览器等发起的 doh 请求都是正常应答的。

可以通过或者抓包（ POST ）或者 GET 看下请求 url base64 编码的前 3 个字节是什么，比如如果是 AAA-AAD 表示 dns id 为 0 。

如果不是 dns id 为 0 的情况，可以发下请求串的 base64 或抓包的 16 进制都可以。

@dingdangnao 有复现，我找负责的人看下

@dingdangnao 问下哪个地区的啊

测试是正常的，不过在 10:30-12:50 这个时间段 1.12.12.12 和 120.53.53.53 这两个 IP 有部分地区部分运营商可能会失败。

@popzuk alidns 的实现和初期不一致了，近几年的实现是每条线路选择一个固定的 ip 带给权威，但是不会携带客户端的 ip 去权威，DNSPod 的 IPv6 ECS 一直用的也是这种方案，选择一条与 ipv6 线路相同的 ipv4 地址带去给权威，而不是客户端的 ipv6 地址。

1. akamai 的权威默认对非对接处理的递归不开启 ecs
2. DNSPod 的公测版 doh.pub 海外使用海外递归，所以会解析到海外。国内的大部分 doh.pub 和 ip 的 doh 对大部分海外国家使用的是国内的递归，少部分国家使用海外递归，会存在不同国家结果不同的情况。
3. 这些可以直接通过对应的测试测试出来。

@docxs 比如
1. 自定义的 DNS Host 是 ns1.a.com,注册局是 verisign ，
2. 如果一个域名 b.com 想把 NS 设置为 ns1.a.com ，就必须先在 verisign 创建 ns1.a.com 这个 host 之后，才能设置，否则会报错无法设置，这里相同 tld 会同时在注册局设置 glue record ip ，并同步到 tld 服务器（如 a.gtld-servers.net 上）
3. 同理如果有另外的 tld 域名，如 c.cn 也向设置 NS 为 ns1.a.com ，cn 的注册局是 CNNIC ，就必须先在 CNNIC 创建 ns1.a.com 这个 host 之后，才能设置，否则会报错无法设置。这里只需要创建 ns1.a.com 这个 host ，而无需设置 glue record ip

2 、3 步在云厂商（注册商）创建自定义 DNS host 的时候都会自动在对接的注册局做好，一般无需用户关注。
但是如果有这个注册商没对接的注册局负责的 tld 域名, 假设 d.xyz, 那么就无法设置 NS 为 ns1.a.com ， 需要 d.xyz 的注册商在注册局代为创建 DNS Host （手动或自动）或者由其他人（如权威 ns1.a.com 的提供者）联系注册局创建

glue record IP 这里，本域名作为 NS -> 或者说本域名相同 TLD 的域名一起生效

这里涉及 2 个问题：
1. 使用本域名作为 NS 的时候，涉及的死循环的问题，必须设置 glue record ip
2. 如果不在对应的注册局创建 Host ，对应的注册局下的 tld 域名是无法设置这个 NS 的，这里只要不是使用本域名作为 NS ，就不是必须设置 glue record ip ，只需要创建 Host

@bclerdx 119 目前的 ecs 缓存并不是完整支持的，是按照省份运营商精度来缓存的，而不是按照 IP 段的精度来缓存的，所以如果对应域名的权威 dns 对鹏博士线路的 IP 应答可能返回其他线路结果时，119 的对应的鹏博士线路的缓存会根据权威对不同 IP 段 ecs 返回结果在不同运营商之间横跳，这个主要还是要看 119 的 IP 库识别，以及域名对应 CDN 权威对鹏博士线路的识别返回结果。

完整 ecs 缓存（即按照 IP 段缓存结果），已经开发测试完成，在灰度的队列里，预计近期可能开始逐步灰度，但是这个功能对网络带宽和缓存成本太高，不会在 119.29.29.29 上放开，只可能会在专业版的公共 dns 和 httpdns 上加白放开，具体策略还没有确定。

@bclerdx 大概看了下，www.163.com 的 cdn 对部分鹏博士的 ip 请求返回的就是一级运营商的节点，部分鹏博士 ip 的请求可以返回网内 ip ，这个要对应的 cdn 去看了
www.jd.com 目前测试了下，倒是暂时没发现问题