Ich verwalte ein paar Netzwerke mit 10-30 Maschinen und betreibe einen bindNameserver, um meinen Clients DNS-Auflösung bereitzustellen (anstatt sie an Comcast oder Google weiterzuleiten – ich möchte die Internetaktivitäten meiner Benutzer nicht auf diese Weise bekannt geben). Mein Nameserver ist für einige lokale Dinge maßgebend und führt für alles andere eine vollständige From-Root-Auflösung durch. Das funktioniert meistens einwandfrei, aber selbst nach einem Neustart dauert es nicht lange, bis Bind got insecure response; parent indicates it should be secureFehler meldet. Ich glaube, diese treten auf, wenn ein brandneuer Name aufgelöst wird, wenn meine Kopie von mit der Auflösung von oder oder was auch immer bindbeginnt ..com.org
Ich habe mich noch nicht mit dem aktuellen DNS-Protokoll befasst oder mit tcpdumpdem Sniffing begonnen. Ich hoffe, dass mir jemand sagen kann „Ihre Zeitbasis ist falsch“ oder etwas Ähnliches, das mir den tiefen DNS-Einstieg erspart. (Ich habe NTP laufen und glaube, meine Systemzeiten liegen nahe genug beieinander, sodass das nicht das Problem ist.)
Gibt es ein allgemeines Problem, das kleine Sites betrifft, die einen rekursiven Nameserver wie diesen betreiben? Oder gibt es ein gutes Tool, das parallel zu ausgeführt werden kann und bindmir helfen kann, herauszufinden, warum bindsich beschwert? Beachten Sie, dass selbst wenn einige Namen nicht aufgelöst werden, andere meiner Meinung nach aufgelöst werden. Beispielsweise könnte ich ein Problem mit haben, foo.bar.com.das als gemeldet wird validating .com/SOA: got insecure response, aber gibble.gobble.comproblemlos aufgelöst wird. (Mein bindläuft auf einem selbstgebauten OpenWRT-Router, daher ist es etwas umständlich, neue Versionen von Tools zu erstellen, aber wenn ich ein neues System neu erstellen und installieren muss, könnte ich das tun.)
Antwort1
Die Meldung bedeutet, dass die von Ihnen betrachtete Domäne DNSSEC-fähig ist (d. h. die übergeordnete Domäne hat einen DS-Eintrag, der auf die untergeordnete Domäne verweist, was bedeutet, dass die Einträge in der untergeordneten Domäne signiert sein sollten), aber entweder enthielt die Antwort keine DNSSEC-Signatur (falsche Konfiguration der Domäne) oder Ihr Nameserver konnte die DNSSEC-Signatur nicht interpretieren (möglicherweise wurde die Signatur mit einem Kryptoalgorithmus generiert, den Ihr DNS-Server nicht verarbeiten kann). Ohne ein konkretes Beispiel einer Domäne, die nicht aufgelöst werden konnte, können wir nicht sagen, welche.
Sie könnten die DNSSEC-Validierung deaktivieren, was die Fehler (und Namensauflösungsfehler) sicherlich stoppen würde, aber aus Sicherheitsgründen ist das keine gute Idee. Wenn Sie Ihre Haustür nie abschließen, werden Sie auch nie ausgesperrt sein ;-) Wenn die Fehlerursache eine DNSSEC-Fehlkonfiguration in der Domäne ist, können Sie offensichtlich nicht viel dagegen tun (ich glaube nicht, dass BIND eine Möglichkeit bietet, DNSSEC-Fehler für einzelne Domänen selektiv zu ignorieren, selbst wenn Sie das wollten). Wenn das Problem ein nicht unterstützter Kryptoalgorithmus in Ihrer BIND-Version ist, ist ein Update von BIND möglicherweise die einzige Lösung.