Ich habe einen funktionierenden DNS-Server für die lokale Domäne mydomain.local. Ich versuche, bind9 so zu konfigurieren, dass es in der Standardkonfiguration funktioniert, mit Ausnahme dieser Zone, für die ich Abfragen an den lokalen DNS-Server weiterleiten möchte. Hier ist meine Konfiguration (Ubuntu 14.04):
/etc/bind/named.conf.local:
zone "mydomain.local" IN {
type forward;
forward only;
forwarders {
192.168.1.1;
};
};
Aber wenn ich es versuche, nslookup server.mydomain.localerhalte ich Folgendes im Syslog:
error (broken trust chain) resolving 'server.mydomain.local/A/IN': 192.168.1.1#53
Meines Wissens liegt das an DNSSEC. Ich möchte DNSSEC nicht global deaktivieren, aber ich möchte DNSSEC für genau diese Zone deaktivieren. Ist das möglich?
Bitte schlagen Sie nicht vor, type slave;Zone zu verwenden. Ich möchte dies mit Forward Zone erreichen
Antwort1
Ich habe eine Antwort gefunden. Die folgende Zeile /etc/bind/named.conf.optionsbehebt das Problem:
---> dnssec-must-be-secure mydomain.local no; <---
Der vollständige Text lautet also /etc/bind/named.conf.options(Kommentare überspringen):
options {
directory "/var/cache/bind";
forwarders {
192.168.1.1;
};
dnssec-enable yes;
dnssec-validation yes;
dnssec-must-be-secure mydomain.local no;
auth-nxdomain no;
listen-on-v6 { any; };
};
AKTUALISIEREN:Tatsächlich kann ich an diesem Punkt nicht sagen, ob ich bind mit dieser Zeile tatsächlich behoben habe oder nicht. Irgendwie funktionieren jetzt alle Abfragen, mit oder ohne diese Zeile. Wenn hier ein Experte anwesend ist, bitte melden.
Antwort2
Wenn Sie jedoch eine Zone „lokal“ erstellen, die übergeordnete Zone für „mydomain.local“, und die IP des Servers, den Sie weiterleiten, als ns festlegen, funktioniert DNSsec mit dem Wert „auto“.