У меня есть работающий DNS-сервер для локального домена mydomain.local. Я пытаюсь настроить bind9 для работы в конфигурации по умолчанию, за исключением этой зоны, для которой я хочу пересылать запросы на локальный DNS-сервер. Вот моя конфигурация (ubuntu 14.04):
/etc/bind/named.conf.local:
zone "mydomain.local" IN {
type forward;
forward only;
forwarders {
192.168.1.1;
};
};
Но когда я пытаюсь это сделать, nslookup server.mydomain.localв системном журнале появляется следующее:
error (broken trust chain) resolving 'server.mydomain.local/A/IN': 192.168.1.1#53
Я так понимаю, что это из-за DNSSEC. Я не хочу отключать DNSSEC глобально, но я хочу отключить DNSSEC для этой самой зоны. Возможно ли это?
Пожалуйста, не предлагайте использовать type slave;зону. Я хочу добиться этого с помощью зоны вперед
решение1
Я нашел ответ. Следующая строка /etc/bind/named.conf.optionsисправляет это:
---> dnssec-must-be-secure mydomain.local no; <---
Итак, полный текст /etc/bind/named.conf.optionsбудет таким (комментарии пропускаются):
options {
directory "/var/cache/bind";
forwarders {
192.168.1.1;
};
dnssec-enable yes;
dnssec-validation yes;
dnssec-must-be-secure mydomain.local no;
auth-nxdomain no;
listen-on-v6 { any; };
};
ОБНОВЛЯТЬ:На самом деле, на данный момент я не могу сказать, исправил ли я bind с этой строкой или нет. Каким-то образом все запросы теперь проходят успешно, с этой строкой или без нее. Если здесь есть эксперт, пожалуйста, отпишитесь
решение2
Но если вы создадите зону «local», родительскую зону для «mydomain.local», и укажете в качестве ns IP-адрес сервера, на который вы перенаправляете, то это заставит dnssec функционировать со значением auto.