我正在尝试在学校网络上的 Centos 6.3 上运行 Bind,但无法让外部查询正常工作。
我可以挖掘/查询在我的服务器上运行的我自己的区域,但是一旦我挖掘了一个外部域名,我就会在我的日志文件中看到以下内容:
NS: got insecure response; parent indicates it should be secure
我禁用了 dnssec 没有结果。我正在使用学校的 DNS 转发器,帮助台目前不知道出了什么问题。
但是,我可以挖掘@SCHOOL-SERVER,它会返回一个正确的答案。它只是与似乎不起作用的货运代理一起工作。
有人可以在这里指出我正确的方向吗?
这与现在默认启用的新 DNSSEC 功能有关。这可能表明您使用的 DNS 解析器/转发器不支持 DNSSEC,因此响应似乎对您的服务器不安全。
您可以使用支持 DNSSEC 的解析器,也可以暂时禁用服务器上的该功能。要禁用它,只需在您的named.confor中使用这些参数named.conf.options:
dnssec-enable no;
dnssec-validation no;
互联网可能是一个非常令人沮丧的地方,人们鹦鹉学舌相同的答案;代替解决方案,您将获得解决方法。
我可以告诉你一个事实,如果 DNS 服务器说它正在提供安全响应,那么它就是在提供安全响应。这里的问题是 DNS 转发器正在剥离 DNSSEC 签名,这似乎很常见,因为我还没有听说这是透明地完成的,所以您可能有一个转发器集。因此,如果您确实想以这种方式使用 DNSSEC,请在 named.conf.options 中禁用您的转发器:
options {
directory "/var/cache/bind";
//forwarders {
// 8.8.8.8;
//};
dnssec-validation auto;
dnssec-enable yes;
dnssec-lookaside auto;
};