Tengo un servidor DNS que funciona para el dominio local mydomain.local. Estoy intentando configurar bind9 para que funcione con la configuración predeterminada, excepto para esta zona, para la cual quiero reenviar consultas al servidor DNS local. Aquí está la configuración que tengo (ubuntu 14.04):
/etc/bind/named.conf.local:
zone "mydomain.local" IN {
type forward;
forward only;
forwarders {
192.168.1.1;
};
};
Pero cuando lo intento, nslookup server.mydomain.localaparece lo siguiente en syslog:
error (broken trust chain) resolving 'server.mydomain.local/A/IN': 192.168.1.1#53
Tengo entendido que esto se debe a DNSSEC. No quiero deshabilitar DNSSEC globalmente, pero sí quiero deshabilitar DNSSEC para esta misma zona. ¿Es posible?
Por favor no sugiera el uso de type slave;la zona. Quiero lograr esto con zona delantera.
Respuesta1
Encontré una respuesta. La siguiente línea /etc/bind/named.conf.optionslo soluciona:
---> dnssec-must-be-secure mydomain.local no; <---
Entonces, el texto completo /etc/bind/named.conf.optionsserá (omitiendo comentarios):
options {
directory "/var/cache/bind";
forwarders {
192.168.1.1;
};
dnssec-enable yes;
dnssec-validation yes;
dnssec-must-be-secure mydomain.local no;
auth-nxdomain no;
listen-on-v6 { any; };
};
ACTUALIZAR:En realidad, en este punto no puedo decir si realmente arreglé el enlace con esa línea o no. De alguna manera, ahora todas las consultas tienen éxito, con o sin esta línea. Si hay un experto presente aquí, por favor contribuya
Respuesta2
Pero si crea una zona "local", la zona principal para "midominio.local" y designa como ns la IP del servidor que reenvía, esto hará que dnssec funcione con valor automático.
Más detalleshttps://netfuture.ch/2014/10/adding-your-fritzbox-as-a-secure-dns-resolver-for-the-fritz-box-pseudo-domain/