로컬 도메인 mydomain.local에 대해 작동하는 DNS 서버가 있습니다. 로컬 DNS 서버에 쿼리를 전달하려는 이 영역을 제외하고 기본 구성에서 작동하도록 바인딩9을 구성하려고 합니다. 내가 가지고 있는 구성은 다음과 같습니다(우분투 14.04).
/etc/bind/named.conf.local:
zone "mydomain.local" IN {
type forward;
forward only;
forwarders {
192.168.1.1;
};
};
하지만 시도하면 nslookup server.mydomain.localsyslog에 다음과 같은 내용이 표시됩니다.
error (broken trust chain) resolving 'server.mydomain.local/A/IN': 192.168.1.1#53
이것이 DNSSEC 때문인 것으로 알고 있습니다. DNSSEC를 전역적으로 비활성화하고 싶지는 않지만 바로 이 영역에 대해 DNSSEC를 비활성화하고 싶습니다. 가능합니까?
영역 사용을 제안하지 마십시오 type slave;. 나는 이것을 포워드 존으로 달성하고 싶다
답변1
나는 답을 찾았다. 다음 줄을 /etc/bind/named.conf.options수정하면 다음과 같습니다.
---> dnssec-must-be-secure mydomain.local no; <---
따라서 전체 텍스트는 /etc/bind/named.conf.options다음과 같습니다(댓글 건너뛰기).
options {
directory "/var/cache/bind";
forwarders {
192.168.1.1;
};
dnssec-enable yes;
dnssec-validation yes;
dnssec-must-be-secure mydomain.local no;
auth-nxdomain no;
listen-on-v6 { any; };
};
업데이트:사실, 이 시점에서는 내가 실제로 해당 줄의 바인딩을 수정했는지 여부를 알 수 없습니다. 이제 이 줄이 있든 없든 모든 쿼리가 성공합니다. 전문가가 여기에 있으면 칩을 추가해 주세요.
답변2
그러나 "mydomain.local"의 상위 영역인 "local" 영역을 만들고 전달하는 서버의 IP를 ns로 지정하면 dnssec 기능이 auto 값으로 작동하게 됩니다.