我正在設定網域後備驗證。我想我幾乎一切都正確。我按照這裡的指示進行操作:https://dlv.isc.org/about/using。我註冊了我的網域並上傳了金鑰簽署金鑰,使用-l dlv.isc.org選項簽署了我的區域,在區域文件中新增了 dlv.isc.org 作為我的網域的外來名稱伺服器。命名默默失敗。我甚至改為/dev/null從/var/log/named.log命名中擠出一些訊息。我檢查了所做的更改,但它不起作用,我不知道要檢查或嘗試什麼。
我問2個問題:
- 當named像它所做的那樣默默失敗時從named收集資訊的策略
- 配置是否正確。我對 DNS 和 DNSSEC 的有限了解告訴我這應該可行
轉發文件:
$TTL 3600;
@ IN SOA ns1.sub.db.archives.net. dlv.isc.org. (
2014112100 ; serial
4h ; refresh
1h ; retry
7d ; expiration
1h ; minimum
)
$INCLUDE Ksub.db.archives.net.+008+07374.key
$INCLUDE Ksub.db.archives.net.+008+24586.key
IN NS ns1.sub.db.archives.net.
IN NS ns1.db.archives.net.
IN NS dlv.isc.org.
dlv.isc.org. IN A 149.20.1.5
ns1.db.archives.net. IN A 10.103.35.66
ns1 IN A 10.103.35.64
luke IN A 10.103.35.64
bo IN A 10.103.35.65
daisy IN A 10.103.35.66
sheriff IN A 10.103.35.67
boss IN A 10.103.35.68
dlv.sub.db.archives.net. 0 IN TXT "DLV:1:blablabla"
dlv.isc.org. IN DNSKEY 257 3 5 BEAAAAPHMu ...TDN0YUuWrBNh
反向文件:
$TTL 3600
@ IN SOA ns1.sub.db.archives.net. dlv.isc.org. (
2014112100 ; serial #
4h ; refresh
1h ; retry
7d ; expiration
1h ; minimum
)
IN NS ns1.sub.db.archives.net.
IN NS ns1.db.archives.net.
IN NS dlv.isc.org.
5.1.20.149 IN PTR dlv.isc.org.
66.35.103.10 IN PTR ns1.db.archives.net.
64 IN PTR ns1.sub.db.archives.net.
64 IN PTR luke.sub.db.archives.net.
65 IN PTR bo.sub.db.archives.net.
66 IN PTR daisy.sub.db.archives.net.
67 IN PTR sheriff.sub.db.archives.net.
68 IN PTR boss.sub.db.archives.net.
dnssec-signzone 指令:
dnssec-signzone -l dlv.isc.org -o sub.db.archives.net -k Ksub.db.archives.net.+008+24586.key sub.db.archives.net.fwd Ksub.db.archives.net.+008+07374.key
命名:
[root@test master]# service named start
Starting named: [FAILED]
答案1
- 查看
named無法啟動原因的策略:- 檢查
named-checkconf -zj輸出。 (named-checkconf並且named-checkzone可能應該成為您常規工作流程的一部分,而不僅僅是用於故障排除) - 檢查日誌。 (
named預設會記錄到系統日誌,請參閱named.conf您擁有的可能覆蓋此的任何日誌記錄配置) - 如果上述方法都沒有幫助(不太可能),還可以選擇檢查
named命令列中通常有哪些參數,並手動啟動它並-g添加到正常的參數集中(這會強制named留在前台並記錄到 stderr )。
- 檢查
問題中包含的區域資料存在許多明顯的問題,這些問題與 DNSSEC 或 DLV 無關。坦白說,我建議您先閱讀 DNS 基礎知識。
我發現的一些問題如下,請named-check{conf,zone}}同時查閱日誌和/或輸出。- 這些
SOA記錄具有極不可能的 RNAME 值 ([email protected]) dlv.isc.org被列為名稱伺服器,但我非常懷疑它託管您的區域。dlv.isc.org. IN A ...看起來它不屬於這個區域。ns1.db.archives.net. IN A ...看起來它不屬於這個區域。dlv.isc.org. IN DNSKEY ...看起來它不屬於這個區域。5.1.20.149 IN PTR dlv.isc.org.- 忽略它寫錯了,這又是一筆不屬於的記錄。66.35.103.10 IN PTR ns1.db.archives.net.可能屬於但寫錯了。
- 這些
(我對這個問題的印像是,這兩個區域是sub.db.archives.net和35.103.10.in-addr.arpa,這是我基於區域外語句的基礎。除了區域資料之外,查看實際配置也可以證實這一點。)
答案2
實際的file not found錯誤是相當不言自明的(我想不存在這樣的文件?)。
但是,DS記錄位於父區域中,或DLV記錄位於 DLV 伺服器中。
這表示您的步驟 4 不存在(根據您連結的指南)。
難道真的不能將 DS 記錄放入父區嗎? DLV 早期主要是一種權宜之計,不應該是首選。
另請參閱內聯簽章(和自動 DNSSEC 維護),與手動呼叫 dnssec-signzone 相比,這通常是區域簽章和金鑰管理的更好選擇。