深度解析：macOS Sequoia 升级引发的 .internal 域名解析失效与自定义 DNS 故障

现象描述：升级 macOS Sequoia 后的网络“灵异事件”

随着苹果发布 macOS 15 Sequoia 正式版，不少开发者和高级用户发现其本地开发环境或家庭网络出现了异常。具体表现为：原本运行正常的 .internal 顶级域名（TLD）突然无法访问，且部分自定义 DNS 设置（如 Pi-hole、AdGuard Home 或本地 DNS 代理）在系统层面失效。

最令人困惑的是，使用 dig 或 nslookup 命令可以正确解析出 IP 地址，但通过浏览器访问或使用 ping 命令时，系统却提示找不到主机。这种“命令工具正常，系统应用罢工”的现象，通常指向了 macOS 的底层 System Resolver（系统解析器）逻辑变更。

技术深挖：为什么 .internal 被“特殊照顾”了？

此次故障的核心原因在于 macOS Sequoia 严格遵循了互联网工程任务组（IETF）最新发布的 RFC 9460 规范。根据该规范，.internal 被正式指定为用于私有网络域名的专用 TLD。这意味着：

• mDNSResponder 的逻辑变更：macOS 的核心 DNS 守护进程 mDNSResponder 现在对 .internal 域名的处理方式类似于 .local。系统可能会跳过标准的递归 DNS 服务器，转而尝试通过多播 DNS（mDNS）或其他特定的本地发现协议进行解析。
• Local Network 隐私权限控制：Sequoia 强化了“本地网络”访问权限。如果终端工具或特定应用未获得访问本地网络的授权，其触发的 DNS 请求可能会被系统拦截。
• DNS-over-HTTPS (DoH) 与加密 DNS 冲突：如果系统配置了加密 DNS，而本地解析器尝试处理 .internal 这种非公开域名，可能会导致解析链路死锁。

故障排查：如何确认你受到了影响？

你可以通过以下步骤确认问题是否源于系统解析器的逻辑变更：

• 在 Terminal 中运行 scutil --dns。查看当前的 Resolver 配置，确认 .internal 是否被列入特定的解析策略中。
• 对比工具差异：如果 dig @127.0.0.1 example.internal 成功但 ping example.internal 失败，说明问题出在 macOS 的核心解析框架而非 DNS 服务器本身。

解决方案与规避建议

针对目前 macOS Sequoia 的这一变更，我们可以采取以下几种补救措施：

• 更换本地 TLD（推荐）：为了长期的稳定性，建议将本地开发环境的域名后缀从 .internal 迁移至 .home.arpa（RFC 8375 推荐的专用域名）或自定义的后缀如 .test、.dev（需注意与真实 TLD 冲突风险）。
• 检查“本地网络”权限：前往 System Settings > Privacy & Security > Local Network，确保相关的网络工具或浏览器已开启权限。
• 重置 DNS 缓存与 mDNS 服务：在终端执行 sudo killall -HUP mDNSResponder，强制系统重新读取 DNS 配置。
• 使用 Search Domains：在网络设置的 DNS 选项中，手动添加 internal 到 Search Domains 列表中，有时可以强制系统解析器正确导向。

总结

macOS Sequoia 对 .internal 域名的处理折射出苹果在系统安全与规范遵循上的激进策略。虽然这增强了网络隐私，但也给依赖自定义 DNS 的开发者带来了挑战。在进行系统大版本升级前，建议开发者始终关注底层网络协议栈的变更，以避免生产力的中断。