ドメイン ルックアサイド検証を設定しています。ほぼすべて正しくできたと思います。次の指示に従いました:https://dlv.isc.org/about/usingドメインを登録し、キー署名キーをアップロードし、-l dlv.isc.orgオプションを使用してゾーンに署名し、ゾーン ファイルにドメインの外部ネーム サーバーとして dlv.isc.org を追加しました。named は何も言わずに失敗します。namedからいくつかの情報を絞り出すため/dev/nullにに変更しました/var/log/named.log。変更が行われたことを確認しましたが、機能しませんでした。何を確認または試せばよいかわかりません。
2つの質問をします:
- namedが静かに失敗したときに情報を収集する戦略
- 設定は正しいですか。DNSとDNSSECについての私の限られた知識では、これでうまくいくはずです
転送ファイル:
$TTL 3600;
@ IN SOA ns1.sub.db.archives.net. dlv.isc.org. (
2014112100 ; serial
4h ; refresh
1h ; retry
7d ; expiration
1h ; minimum
)
$INCLUDE Ksub.db.archives.net.+008+07374.key
$INCLUDE Ksub.db.archives.net.+008+24586.key
IN NS ns1.sub.db.archives.net.
IN NS ns1.db.archives.net.
IN NS dlv.isc.org.
dlv.isc.org. IN A 149.20.1.5
ns1.db.archives.net. IN A 10.103.35.66
ns1 IN A 10.103.35.64
luke IN A 10.103.35.64
bo IN A 10.103.35.65
daisy IN A 10.103.35.66
sheriff IN A 10.103.35.67
boss IN A 10.103.35.68
dlv.sub.db.archives.net. 0 IN TXT "DLV:1:blablabla"
dlv.isc.org. IN DNSKEY 257 3 5 BEAAAAPHMu ...TDN0YUuWrBNh
逆ファイル:
$TTL 3600
@ IN SOA ns1.sub.db.archives.net. dlv.isc.org. (
2014112100 ; serial #
4h ; refresh
1h ; retry
7d ; expiration
1h ; minimum
)
IN NS ns1.sub.db.archives.net.
IN NS ns1.db.archives.net.
IN NS dlv.isc.org.
5.1.20.149 IN PTR dlv.isc.org.
66.35.103.10 IN PTR ns1.db.archives.net.
64 IN PTR ns1.sub.db.archives.net.
64 IN PTR luke.sub.db.archives.net.
65 IN PTR bo.sub.db.archives.net.
66 IN PTR daisy.sub.db.archives.net.
67 IN PTR sheriff.sub.db.archives.net.
68 IN PTR boss.sub.db.archives.net.
dnssec-signzone コマンド:
dnssec-signzone -l dlv.isc.org -o sub.db.archives.net -k Ksub.db.archives.net.+008+24586.key sub.db.archives.net.fwd Ksub.db.archives.net.+008+07374.key
名前:
[root@test master]# service named start
Starting named: [FAILED]
答え1
named起動に失敗する 理由を確認するための戦略:- 出力を確認します
named-checkconf -zj。(トラブルシューティングだけnamed-checkconfでなくnamed-checkzone、通常のワークフローの一部にする必要があります) - ログを確認してください。(
namedデフォルトでは syslog にログが記録されます。named.confこれを上書きする可能性のあるログ設定があるかどうかを確認してください) - 上記のいずれも役に立たない場合 (可能性は低いですが)、コマンド ラインで通常使用するパラメーターを確認し、通常のパラメーター セットに追加し
namedて手動で起動するオプションもあります(これにより、フォアグラウンドに留まり、stderr にログが記録されます)。-gnamed
- 出力を確認します
質問に含まれるゾーン データには、DNSSEC や DLV に固有のものではない明らかな問題が多数あります。率直に言って、最初のステップとして DNS の基礎について読むことをお勧めします。
私が見つけた問題は次のとおりです。ログやnamed-check{conf,zone}}出力も参照してください。- レコード
SOAには非常にありそうもないRNAME値([email protected])がある。 dlv.isc.orgネームサーバーとしてリストされていますが、それがあなたのゾーンをホストしているかどうかは非常に疑わしいです。dlv.isc.org. IN A ...このゾーンに属しているようには見えません。ns1.db.archives.net. IN A ...このゾーンに属しているようには見えません。dlv.isc.org. IN DNSKEY ...このゾーンに属しているようには見えません。5.1.20.149 IN PTR dlv.isc.org.- 誤って書かれていることを無視すると、これはまたしても不適切な記録となります。66.35.103.10 IN PTR ns1.db.archives.net.おそらく属しているが、誤って書かれている。
- レコード
(質問から私が受けた印象では、2 つのゾーンはsub.db.archives.netと であり35.103.10.in-addr.arpa、これがゾーン外の記述の根拠となっています。ゾーン データに加えて実際の構成を確認すると、これが確認できます。)
答え2
実際のfile not foundエラーは、かなり自明のようです (そのようなファイルは存在しないのでしょうか?)。
ただし、DSレコードは親ゾーンに保存され、代わりにDLVDLV サーバーに保存されます。
これは、ステップ 4 が存在しないことを意味します (リンクしたガイドに従って)。
代わりに DS レコードを親ゾーンに入れることはできないのでしょうか? DLV は当初は一時的な対策として主に使用されていたため、第一の選択肢にはなりません。
こちらもご覧くださいインライン署名(および自動 DNSSEC 維持)これは通常、dnssec-signzone を手動で呼び出す場合と比較して、ゾーンの署名とキー管理に適したオプションです。