我有一个本地 bind9 服务器,充当小型办公室递归 DNS。
它还将内部名称请求转发到另一个本地 DNS 服务器:
zone "internal.companyname.co.nz" {
type forward;
forward only;
forwarders {
192.168.1.x;
192.168.1.y;
};
};
但问题是,尽管它有,但forward only它仍然依赖于互联网连接来解析根 DNS 服务器和区域的 DNS 服务器.co.nz.。
是否可以对其进行配置,以便对于指定的区域,它永远不会接触根或其他互联网区域(这样它就不需要互联网连接)?
更新 2:这是由 引起的dnssec。那么问题是:是否可以dnssec启用本地转发区域并容忍互联网连接丢失(对于本地区域)?
更新:完整配置
options {
directory "/var/cache/bind";
dnssec-validation auto;
auth-nxdomain no;
listen-on-v6 { none; };
recursion yes;
allow-query { any; };
allow-transfer { none; };
};
zone "internal.companyname.co.nz" {
type forward;
forward only;
forwarders {
192.168.1.x;
192.168.1.y;
};
};
在以下屏幕截图中,这些是发送到根的相关 DNS 请求,.nz.在.co.nz.我运行之后dig A internal.companyname.co.nz @localhost,我认为它们不应该涉及任何根服务器的交互。
答案1
发生这种情况是因为dnssec。
解决方案是改为从属转发区域。或者,dnssec如果其他应用程序验证了区域内容,则在本地签名并部署。