端口更新后,我的 DNSsec 开始出现故障。我已在主服务器和从服务器上重新安装了 Bind,但错误仍然存在。
35 ;; WE HAVE MATERIAL, WE NOW DO VALIDATION
36 ;; VERIFYING A RRset for www.ex-mailer.com. with DNSKEY:9381: success
37 ;; OK We found DNSKEY (or more) to validate the RRset
38 ;; Now, we are going to validate this DNSKEY by the DS
39 ;; ERROR no DS validates a DNSKEY in the DNSKEY RRset: FAILED
完成挖掘输出 挖掘输出
VeriSign 说我可以开始了 VeriSign 诊断
并且绑定日志中没有错误。
我如何找到导致此错误的原因并消除它/恢复我的 DNSsec?
更新:这不是陈旧的缓存。来自新远程网络的查询会获得相同的结果。
答案1
查看您的dig +sigchase输出,我们可以看到 KSK(SEP)DNSKEY是:
ex-mailer.com. 86400 IN DNSKEY 257 3 8 AwEAAaer0hZ5wLS++AsZyIEea+hqFzH4VKCWtFrLIUIqPU368szAfq9q 58adbqXjbizWGVimZEhVgDdUbl+TI3hQQ8eppOpX5yPr49XNv3AP6IbT pUlXAEXUjb6DsTONKciWHxo8r0Es7KL/SJSWmd3aTqtMeIrxb2SSFRmH upy034CKgrniidBv2VVI1pGsvLIDn3HYWMHqUas81iDv8EJ6c1HYiVUf w+37kfFZtj4pUmFQwwZ5yfi8pECPwLV5QImsnT3QGV2sYGP0sDWgGpz+ Sbv3+fs2u1o5AzD5nB7FeTotSdl31J0BKNpOT3gIG3JvkCaRziqqkCnL 7p+5t4+1dqE=
我们还可以看到DS您找到的是:
ex-mailer.com. 85868 IN DS 30274 8 1 9D12E47AAB1817A5062590188B7FC849FB662CE3
但是,如果我检查DS上面的内容,DNSKEY我会得到:
$ echo "ex-mailer.com. 86400 IN DNSKEY 257 3 8 AwEAAaer0hZ5wLS++AsZyIEea+hqFzH4VKCWtFrLIUIqPU368szAfq9q 58adbqXjbizWGVimZEhVgDdUbl+TI3hQQ8eppOpX5yPr49XNv3AP6IbT pUlXAEXUjb6DsTONKciWHxo8r0Es7KL/SJSWmd3aTqtMeIrxb2SSFRmH upy034CKgrniidBv2VVI1pGsvLIDn3HYWMHqUas81iDv8EJ6c1HYiVUf w+37kfFZtj4pUmFQwwZ5yfi8pECPwLV5QImsnT3QGV2sYGP0sDWgGpz+ Sbv3+fs2u1o5AzD5nB7FeTotSdl31J0BKNpOT3gIG3JvkCaRziqqkCnL 7p+5t4+1dqE=" | dnssec-dsfromkey -1 -f - ex-mailer.com
ex-mailer.com. IN DS 47569 8 1 42665F3D9A532B16A8E5AD9564AF9936AC93F7A0
DS您查找到的和当前使用的 KSK显然不匹配。
不管怎样,DS如果我自己查一下,就会得到正确的结果:
$ dig @a.gtld-servers.net ex-mailer.com DS +norec +short
47569 8 1 42665F3D9A532B16A8E5AD9564AF9936AC93F7A0
看起来密钥ex-mailer.com可能以某种非计划的方式发生了改变(没有以受控的方式翻转),这会导致验证解析器服务器处于不良状态,直到缓存数据过期。