答案1
整個 NRPT 事情聽起來像是一種帶來DNSSEC有點符合DNS曲線,除了不像 DNSCurve 本身那樣有一個單一的標準和規範,他們只是將一堆不相關的標準和規範放在一起,形成一個巨大的管理和配置混亂。
為遞歸伺服器和權威伺服器部署 DNSSEC 是兩個完全不同的任務。
您到底想實現什麼目標? 在 Linux 和 BSD 世界中,如果您只是想確保進行 DNSSEC 驗證/確認,最好的方法是運行您自己的本機遞歸或快取解析器。有關其完成方式的一些詳細信息,請查看對即將推出的 FreeBSD 10 所做的最新更改,其中引入了unbound基本樹,如果正確使用(例如,如果將其設置為唯一可用的解析器),不應該解析任何已啟用DNSSEC 但具有未正確簽署但本應已簽署的記錄的網域。
據,直到...為止權威性伺服器繼續運行,如果您想要一些額外的安全性和隱私,最好的選擇是運行 DNSCurve 作為前端,如果需要的話,後端可能仍然有 DNSSEC。
我猜是為了遞迴的DNS,您會做完全相同的事情,但方向相反:也許將本機配置unbound為快取/驗證解析器,它將透過本機 DNSCurve 感知遞歸解析器發出所有查詢,但絕不會以其他方式進行。
然而,在上面的兩個例子中,我認為你幾乎進入了一個未知的領域。