我正在运行一个绑定服务器,它对一个域名(例如 ab.dc.example.com)具有权威性,并且它是一个仅转发的 DNS 服务器。例如,它会将除 ab.dc.example.com 之外的所有请求转发到一组服务器。
转发请求的同一组服务器也将充当域 ab.dc.example.com 的从属名称服务器。基本上,这些服务器将使用安全 tsig 获取区域传输更新。
我为那些带有 bind 密钥语句的服务器设置了安全区域传输。
现在的问题是安全区域传输正在进行,但正常的请求转发却没有发生。如果我禁用其中一个从属服务器(也是将请求转发到的服务器)的安全区域传输 (tsig),则转发工作正常。
有人可以帮帮我吗?
我的配置如下所示。
zone "somedomain.com" in {
type master;
file "/etc/bind/zones/master.somedomain.com";
allow-transfer { key somedomain.com; };
allow-query { any; };
allow-update { key somedomain.com; };
notify yes;
};
我的包含密钥语句的密钥配置文件如下所示。
key somedomain.com {
algorithm hmac-md5;
secret "s0G8oHowQLsdfsgdsdgsdgkngsgdslgllsdgllsdjgljlsdgjlSTWaFwp5JNaZBSN0OW4clrtHtEfFPyf3nBNY6xR+1Q==";
};
server 172.16.202.1 {
keys {
somedomain.com;
};
};
server 172.16.202.2 {
keys {
somedomain.com;
};
};
server 172.16.202.3 {
keys {
somedomain.com;
};
};
server 172.16.202.4 {
keys {
somedomain.com;
};
};
并且我的区域传输通过上述配置完美运行..但是当我将其他不具有权威性的查询转发到相同的从属 IP(172.16.202.1,2,3,4)时,我无法做到这一点。
我的 named.conf 选项中有 dnssec-enable yes;。
我唯一能从日志中获取的是类似下面的内容。
;; TSIG PSEUDOSECTION:
somedomain.com 0 ANY TSIG hmac-md5.sig-alg.reg.int. 1380337474 300 0 22003 BADSIG 0
但是我可以使用 dig 手动查询那些转发我的请求的从属名称服务器,如下所示。
dig -y 'somedomain.com:bgsdgblsnglsnglsnghlsdnghlsdnlhn==' yahoo.com @172.16.202.1
问候 Sarath