我有一個用於本地域 mydomain.local 的可用 DNS 伺服器。我正在嘗試將 bin9 配置為在預設配置下工作,但該區域除外,我想將查詢轉發到本地 DNS 伺服器。這是我的配置(ubuntu 14.04):
/etc/bind/named.conf.local:
zone "mydomain.local" IN {
type forward;
forward only;
forwarders {
192.168.1.1;
};
};
但是當我嘗試時,nslookup server.mydomain.local我在系統日誌中收到以下內容:
error (broken trust chain) resolving 'server.mydomain.local/A/IN': 192.168.1.1#53
據我了解,這是因為 DNSSEC。我不想全域禁用 DNSSEC,但我確實想為此區域停用 DNSSEC。是否可以?
請不要建議使用type slave;區域。我想透過前區實現這一點
答案1
我找到了答案。以下行/etc/bind/named.conf.options修復了它:
---> dnssec-must-be-secure mydomain.local no; <---
因此,全文/etc/bind/named.conf.options將是(跳過評論):
options {
directory "/var/cache/bind";
forwarders {
192.168.1.1;
};
dnssec-enable yes;
dnssec-validation yes;
dnssec-must-be-secure mydomain.local no;
auth-nxdomain no;
listen-on-v6 { any; };
};
更新:實際上,此時我無法判斷我是否確實修復了該行的綁定。不知何故,無論有或沒有這一行,所有查詢現在都會成功。如果這裡有專家,請幫忙
答案2
但是,如果您建立一個區域“local”,即“mydomain.local”的父區域,並將您轉發的伺服器的 IP 指定為 ns。