도메인 예측 유효성 검사를 설정 중입니다. 내 생각엔 대부분 모든 것이 정확하다고 생각합니다. 나는 여기의 지시를 따랐다:https://dlv.isc.org/about/using. 내 도메인을 등록하고 키 서명 키를 업로드하고 -l dlv.isc.org옵션으로 내 영역에 서명하고 영역 파일에 내 도메인의 외부 이름 서버로 dlv.isc.org를 추가했습니다. 이름이 자동으로 실패합니다. 나는 심지어 이름에서 일부 정보를 짜내기 위해 /dev/null로 변경했습니다. /var/log/named.log변경 사항이 적용되었는지 확인했지만 작동하지 않았습니다. 무엇을 확인하거나 시도해야 할지 모르겠습니다.
나는 2 가지 질문을하고 있습니다 :
- 이름이 지정된 경우처럼 조용히 실패할 때 정보를 수집하는 전략
- 구성이 정확합니까? DNS와 DNSSEC에 대한 나의 제한된 이해는 이것이 작동해야 한다고 말합니다.
파일 전달:
$TTL 3600;
@ IN SOA ns1.sub.db.archives.net. dlv.isc.org. (
2014112100 ; serial
4h ; refresh
1h ; retry
7d ; expiration
1h ; minimum
)
$INCLUDE Ksub.db.archives.net.+008+07374.key
$INCLUDE Ksub.db.archives.net.+008+24586.key
IN NS ns1.sub.db.archives.net.
IN NS ns1.db.archives.net.
IN NS dlv.isc.org.
dlv.isc.org. IN A 149.20.1.5
ns1.db.archives.net. IN A 10.103.35.66
ns1 IN A 10.103.35.64
luke IN A 10.103.35.64
bo IN A 10.103.35.65
daisy IN A 10.103.35.66
sheriff IN A 10.103.35.67
boss IN A 10.103.35.68
dlv.sub.db.archives.net. 0 IN TXT "DLV:1:blablabla"
dlv.isc.org. IN DNSKEY 257 3 5 BEAAAAPHMu ...TDN0YUuWrBNh
역방향 파일:
$TTL 3600
@ IN SOA ns1.sub.db.archives.net. dlv.isc.org. (
2014112100 ; serial #
4h ; refresh
1h ; retry
7d ; expiration
1h ; minimum
)
IN NS ns1.sub.db.archives.net.
IN NS ns1.db.archives.net.
IN NS dlv.isc.org.
5.1.20.149 IN PTR dlv.isc.org.
66.35.103.10 IN PTR ns1.db.archives.net.
64 IN PTR ns1.sub.db.archives.net.
64 IN PTR luke.sub.db.archives.net.
65 IN PTR bo.sub.db.archives.net.
66 IN PTR daisy.sub.db.archives.net.
67 IN PTR sheriff.sub.db.archives.net.
68 IN PTR boss.sub.db.archives.net.
dnssec-signzone 명령:
dnssec-signzone -l dlv.isc.org -o sub.db.archives.net -k Ksub.db.archives.net.+008+24586.key sub.db.archives.net.fwd Ksub.db.archives.net.+008+07374.key
명명 된:
[root@test master]# service named start
Starting named: [FAILED]
답변1
named시작에 실패하는 이유를 확인하기 위한 전략 :- 출력을 확인하세요
named-checkconf -zj. (named-checkconf또한named-checkzone문제 해결을 위한 것뿐만 아니라 일반 작업 흐름의 일부여야 합니다) - 로그를 확인하세요. (
named기본적으로 syslog에 기록합니다.named.conf이를 재정의할 수 있는 로깅 구성에 대해서는 귀하를 참조하세요.) - 위의 어느 것도 도움이 되지 않으면(가능성이 낮음) 일반적으로 명령줄에 있는 매개변수를 확인하고 일반 매개변수 세트에 추가하여
named수동으로 시작하는 옵션도 있습니다 (이렇게 하면 포그라운드에 머무르고 stderr에 기록됩니다). ).-gnamed
- 출력을 확인하세요
질문에 포함된 영역 데이터에는 DNSSEC 또는 DLV와 관련된 것이 아닌 수많은 명백한 문제가 있습니다. 솔직히 말해서 첫 번째 단계로 DNS 기본 사항을 읽어 보는 것이 좋습니다.
제가 발견한 몇 가지 문제는 다음과 같습니다. 로그 및/또는named-check{conf,zone}}출력도 참조하시기 바랍니다.- 레코드
SOA에 가능성이 매우 낮은 RNAME 값이 있습니다([email protected]). dlv.isc.org은(는) 네임서버로 나열되어 있지만 귀하의 영역을 호스팅하는지 의심스럽습니다.dlv.isc.org. IN A ...이 구역에는 속하지 않는 것 같습니다.ns1.db.archives.net. IN A ...이 구역에는 속하지 않는 것 같습니다.dlv.isc.org. IN DNSKEY ...이 구역에는 속하지 않는 것 같습니다.5.1.20.149 IN PTR dlv.isc.org.-잘못 쓴 것을 무시하면 이는 또 다른 기록에 속하지 않는 기록입니다.66.35.103.10 IN PTR ns1.db.archives.net.아마도 속하지만 잘못 작성되었습니다.
- 레코드
(질문에서 제가 받은 인상은 두 영역이 sub.db.archives.net및 이며 35.103.10.in-addr.arpa, 이것이 제가 영역 외 설명의 기반이 된 것입니다. 영역 데이터 외에 실제 구성을 보면 이를 확인할 수 있습니다.)
답변2
실제 file not found오류는 상당히 설명이 필요합니다(그런 파일이 존재하지 않는 것 같은데요?).
그러나 DS레코드는 상위 영역에 있고, 대안적으로 DLV레코드는 DLV 서버에 있습니다.
이는 연결한 가이드에 따라 4단계가 존재하지 않음을 의미합니다.
대신 DS 레코드를 상위 영역으로 가져올 수 없나요? DLV는 대부분 초기에 임시방편으로 사용되었으며 첫 번째 선택이 되어서는 안 됩니다.
또한 참조하십시오인라인 서명(및 자동 DNSsec 유지), 이는 일반적으로 dnssec-signzone을 수동으로 호출하는 것보다 영역 서명 및 키 관리에 더 나은 옵션입니다.