答案1
整个 NRPT 听起来像是一种方式来DNSSEC有点符合DNS曲线,只不过他们没有像 DNSCurve 本身那样拥有单一的标准和规范,而是简单地将一堆不相关的标准和规范堆砌在一起,造成了巨大的管理和配置混乱。
为递归服务器和权威服务器部署 DNSSEC 是两个完全不同的任务。
您到底想实现什么目标? 在 Linux 和 BSD 世界中,如果您只是想确保 DNSSEC 验证/确认正在进行,最好的方法是运行您自己的本地递归或缓存解析器。有关如何执行此操作的一些详细信息,请查看即将推出的 FreeBSD 10 的最新更改,其中引入了unbound基础树,如果使用得当(例如,如果将其设置为唯一可用的解析器),则不应解析任何已启用 DNSSEC 的域名,但其记录未正确签名,但应该已签名。
据,直到...为止权威性服务器,如果您想要一些额外的安全性和隐私,最好的选择是运行 DNSCurve 作为前端,并且如果需要,可能仍在后端拥有 DNSSEC。
我猜递归DNS,你会做完全相同的事情,但反过来:也许配置一个本地unbound作为缓存/验证解析器,它将通过本地 DNSCurve 感知递归解析器发出所有查询,但绝不会以其他方式进行。
然而,在上述两个例子中,我认为你几乎已经进入了一个未知领域。