bind9 为本地域配置正向区域,仅为此区域配置不带 DNSSEC 的区域

bind9 为本地域配置正向区域,仅为此区域配置不带 DNSSEC 的区域

我有一个用于本地域 mydomain.local 的工作 DNS 服务器。我尝试将 bind9 配置为在默认配置下工作,但此区域除外,我想要将查询转发到本地 DNS 服务器。这是我的配置(ubuntu 14.04):

/etc/bind/named.conf.local:


zone "mydomain.local" IN {
    type forward;
    forward only;
    forwarders {
        192.168.1.1;
    };
};

但是当我尝试时,nslookup server.mydomain.local我在系统日志中得到了以下内容:

error (broken trust chain) resolving 'server.mydomain.local/A/IN': 192.168.1.1#53

据我了解,这是由于 DNSSEC 造成的。我不想全局禁用 DNSSEC,但我想针对此区域禁用 DNSSEC。可以吗?

请不要建议使用type slave;区域。我想使用前向区域来实现这一点

答案1

我找到了答案。以下行/etc/bind/named.conf.options修复了此问题:

--->        dnssec-must-be-secure mydomain.local no;   <---

因此,全文如下/etc/bind/named.conf.options(跳过评论):

options {
        directory "/var/cache/bind";

        forwarders {
                192.168.1.1;
        };

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-must-be-secure mydomain.local no;

        auth-nxdomain no;
        listen-on-v6 { any; };
};

更新:实际上,目前我无法确定我是否确实用该行修复了绑定。不知何故,现在所有查询都成功了,无论有没有这行。如果有专家在场,请插话

答案2

但是如果您创建一个区域“local”,即“mydomain.local”的父区域,并将您转发的服务器的 ip 指定为 ns,这将使 dnssec 以值自动运行。

更多细节https://netfuture.ch/2014/10/adding-your-fritzbox-as-a-secure-dns-resolver-for-the-fritz-box-pseudo-domain/

相关内容