nslookup能查到IP，网页就是打不开，到底卡在哪一步？，DNS明明通着却像被掐了脖子，，它到底是工具还是照妖镜？

　　昨天下午公司好几个人说打不开内部系统，我第一反应是网络断了，结果ping网关和8.8.8.8全通，连微信都能发，就浏览器转圈。我打开命令行敲了句nslookup internal.app，回车后弹出“*** Can't find internal.app: No response from server”，心一沉——不是网的事，是名字根本没变成IP。

　　以前总以为DNS就是个配角，直到现在才发现，它才是第一个被卡住的关卡。你电脑连得上，服务器也活着，但只要域名查不出来，后面所有步骤全白搭。就像去超市找不到货架号，再想买啥都得先问路。

　　我试了nslookup internal.app 8.8.8.8，这回立马出了IP。说明不是网络不通，是我本机设的DNS服务器挂了，或者被公司防火墙拦了UDP 53端口。查了下Windows设置，果然DNS地址被自动改成了192.168.1.1，但家里路由器根本没开DNS服务。

　　接着我又试了nslookup -type=NS internal.app，出来两个NS记录，是ns1.corp.local和ns2.corp.local。再拿nslookup internal.app ns1.corp.local一试，没反应。这下清楚了：不是我电脑的问题，是公司那台DNS服务器自己崩了，连NS都连不上。后来运维说，那台服务器昨天更新系统重启后没拉起BIND进程。

　　还有一次，同事说邮件发不出去，查来查去发现nslookup -type=MX gmail.com啥也不返回。我顺手在自己电脑上跑一遍，结果正常。马上意识到是他们用的电信DNS把MX记录给过滤了——很多小运营商DNS为了省事，压根不处理MX、TXT这类“不常用”记录。换了114.114.114.114，邮件立刻能发。

　　最吓人的是看到Address: 127.0.0.1。我当场查了hosts文件，果然多了一行127.0.0.1 api.analytic-track.com。问同事才知道，他上周装了个“免费网速加速器”，后台偷偷改的。这玩意儿看着是帮你加速，其实是把所有域名都指向本地，再由它中转，顺便把你的访问记录全记下来。

　　反向解析也容易踩坑。有次测试短信接口，nslookup 203.123.45.67返回的不是短信平台域名，而是一个叫“spam-block.net”的乱码。后来才知道人家WAF策略里写了：PTR不匹配就直接拒绝。我们换了云服务商配好PTR，第二天就通了。

　　-debug参数我一开始看不懂，全是密密麻麻的;;开头的字。后来逐行对照，发现关键在ANSWER SECTION下面那个TTL值。比如查一个刚更新的域名，TTL还显示86400（24小时），说明缓存根本没刷新，可能上游DNS压根没推新配置。

　　其实nslookup没那么玄乎，就三件事：找谁问（DNS服务器）、问什么（A/MX/TXT）、问到没（有没有Answer）。它不告诉你为什么错，但每条回显都在说一句话——哪一环断了。

　　很多人一出问题就换DNS，8.8.8.8、1.1.1.1轮着试。可如果你连nslookup baidu.com 8.8.8.8都超时，那八成是本地防火墙或杀毒软件在拦53端口，换啥DNS都没用。先看报错，再动手。

　　我存了个小脚本，每五分钟跑一次nslookup -timeout=1 -retry=1 api.corp.local 114.114.114.114，结果写进日志。前天凌晨两点，连续12次SERVFAIL，我睡眼惺忪爬起来看，发现是主DNS服务器磁盘满了。

　　有时候nslookup返回的IP里混着10.0.0.5这种内网地址，而访问时走的是外网线路，那肯定连不通。这说明DNS被污染了，或者内部DNS策略写错了，把公网域名也往内网IP上指。

　　最近还遇到个怪事：nslookup -type=AAAA baidu.com有结果，-type=A却超时。查了半天，是CDN配置漏掉了IPv4节点，只开了IPv6。现在双栈设备多，一测IPv6通但IPv4堵，问题就出在这儿。

　　工具再简单，用的人得知道它每一步在干嘛。你敲下去的不是命令，是一次提问，回答对了，路就通了；答错了，就得换个人问，或者换个方式问。

　　那天修完内部系统，我顺手把nslookup baidu.com 223.5.5.5也测了一遍，结果快得飞起。阿里云这个DNS，确实比默认的稳。

　　我把常用命令全贴在显示器边上了，纸条有点卷边，但字还清楚。

　　事情就这样。