ローカル ドメイン mydomain.local 用の DNS サーバーが動作しています。このゾーンを除いて、bind9 をデフォルト構成で動作するように構成しようとしています。このゾーンについては、クエリをローカル DNS サーバーに転送します。私の構成は次のとおりです (ubuntu 14.04)。
/etc/bind/named.conf.local:
zone "mydomain.local" IN {
type forward;
forward only;
forwarders {
192.168.1.1;
};
};
しかし、実行しようとすると、nslookup server.mydomain.localsyslog に次の内容が出力されます。
error (broken trust chain) resolving 'server.mydomain.local/A/IN': 192.168.1.1#53
これは DNSSEC が原因だと私は理解しています。DNSSEC をグローバルに無効にするのではなく、このゾーンの DNSSEC を無効にしたいのですが、それは可能ですか?
ゾーンの使用は提案しないでくださいtype slave;。私はこれをフォワードゾーンで実現したいのです
答え1
答えを見つけました。次の行で/etc/bind/named.conf.options修正できます:
---> dnssec-must-be-secure mydomain.local no; <---
したがって、全文は次の/etc/bind/named.conf.optionsようになります(コメントは省略)。
options {
directory "/var/cache/bind";
forwarders {
192.168.1.1;
};
dnssec-enable yes;
dnssec-validation yes;
dnssec-must-be-secure mydomain.local no;
auth-nxdomain no;
listen-on-v6 { any; };
};
アップデート:実際、この時点では、その行でbindを修正したかどうかはわかりません。どういうわけか、この行があってもなくても、すべてのクエリが成功しています。専門家がここにいらっしゃる場合は、ぜひご協力ください。
答え2
ただし、「mydomain.local」の親ゾーンであるゾーン「local」を作成し、転送するサーバーの IP を ns として指定すると、dnssec は値 auto で機能します。