我正在设置域旁视验证。我认为我基本都做对了。我按照以下说明操作:https://dlv.isc.org/about/using。我注册了我的域名并上传了密钥签名密钥,使用-l dlv.isc.org
选项对我的区域进行了签名,在区域文件中将 dlv.isc.org 添加为我的域名的外部名称服务器。named 默默地失败了。我甚至更改/dev/null
为/var/log/named.log
从 named 中挤出一些信息。我检查了所做的更改,但没有成功,我不知道该检查或尝试什么。
我问两个问题:
- 当它像它所做的那样默默失败时,从命名中收集信息的策略
- 配置是否正确?我对 DNS 和 DNSSEC 的了解有限,这应该可行
转发文件:
$TTL 3600;
@ IN SOA ns1.sub.db.archives.net. dlv.isc.org. (
2014112100 ; serial
4h ; refresh
1h ; retry
7d ; expiration
1h ; minimum
)
$INCLUDE Ksub.db.archives.net.+008+07374.key
$INCLUDE Ksub.db.archives.net.+008+24586.key
IN NS ns1.sub.db.archives.net.
IN NS ns1.db.archives.net.
IN NS dlv.isc.org.
dlv.isc.org. IN A 149.20.1.5
ns1.db.archives.net. IN A 10.103.35.66
ns1 IN A 10.103.35.64
luke IN A 10.103.35.64
bo IN A 10.103.35.65
daisy IN A 10.103.35.66
sheriff IN A 10.103.35.67
boss IN A 10.103.35.68
dlv.sub.db.archives.net. 0 IN TXT "DLV:1:blablabla"
dlv.isc.org. IN DNSKEY 257 3 5 BEAAAAPHMu ...TDN0YUuWrBNh
反向文件:
$TTL 3600
@ IN SOA ns1.sub.db.archives.net. dlv.isc.org. (
2014112100 ; serial #
4h ; refresh
1h ; retry
7d ; expiration
1h ; minimum
)
IN NS ns1.sub.db.archives.net.
IN NS ns1.db.archives.net.
IN NS dlv.isc.org.
5.1.20.149 IN PTR dlv.isc.org.
66.35.103.10 IN PTR ns1.db.archives.net.
64 IN PTR ns1.sub.db.archives.net.
64 IN PTR luke.sub.db.archives.net.
65 IN PTR bo.sub.db.archives.net.
66 IN PTR daisy.sub.db.archives.net.
67 IN PTR sheriff.sub.db.archives.net.
68 IN PTR boss.sub.db.archives.net.
dnssec-signzone 命令:
dnssec-signzone -l dlv.isc.org -o sub.db.archives.net -k Ksub.db.archives.net.+008+24586.key sub.db.archives.net.fwd Ksub.db.archives.net.+008+07374.key
命名:
[root@test master]# service named start
Starting named: [FAILED]
答案1
- 了解
named
启动失败原因的策略:- 检查
named-checkconf -zj
输出。(这应该成为您常规工作流程的一部分,named-checkconf
而named-checkzone
不仅仅是用于故障排除) - 检查日志。(
named
默认情况下记录到系统日志,查看named.conf
是否有任何日志配置可能会覆盖此配置) - 如果以上方法均无帮助(不太可能),您还可以选择检查命令行中通常具有哪些参数,然后将其添加到正常参数集中
named
并手动启动(这会强制留在前台并记录到 stderr)。-g
named
- 检查
问题中包含的区域数据存在许多明显问题,这些问题与 DNSSEC 或 DLV 无关。坦率地说,我建议您首先阅读 DNS 基础知识。
我发现的一些问题如下,请named-check{conf,zone}}
同时查阅日志和/或输出。- 这些
SOA
记录具有非常不可能的 RNAME 值 ([email protected]
) dlv.isc.org
被列为名称服务器,但我非常怀疑它是否托管您的区域。dlv.isc.org. IN A ...
看起来它不属于这个区域。ns1.db.archives.net. IN A ...
看起来它不属于这个区域。dlv.isc.org. IN DNSKEY ...
看起来它不属于这个区域。5.1.20.149 IN PTR dlv.isc.org.
- 忽略写得错误的情况,这又是另一条不属于这里的记录。66.35.103.10 IN PTR ns1.db.archives.net.
可能属于但写得不正确。
- 这些
(我从这个问题得到的印象是这两个区域是sub.db.archives.net
和35.103.10.in-addr.arpa
,这是我基于区域外陈述的依据。除了区域数据之外,查看实际配置也可以证实这一点。)
答案2
实际file not found
错误看起来相当不言自明(我想,不存在这样的文件?)。
但是,DS
记录位于父区域中,或者DLV
记录位于 DLV 服务器上。
这意味着您的步骤 4 不存在(根据您链接的指南)。
您真的不能将 DS 记录放入父区域吗? DLV 在早期主要是权宜之计,不应成为首选。
另请参阅在线签名(和自动 DNSSEC 维护),与手动调用 dnssec-signzone 相比,这通常是区域签名和密钥管理的更好选择。