15

我正在尝试在学校网络上的 Centos 6.3 上运行 Bind,但无法让外部查询正常工作。

我可以挖掘/查询在我的服务器上运行的我自己的区域,但是一旦我挖掘了一个外部域名,我就会在我的日志文件中看到以下内容:

NS: got insecure response; parent indicates it should be secure

我禁用了 dnssec 没有结果。我正在使用学校的 DNS 转发器,帮助台目前不知道出了什么问题。

但是,我可以挖掘@SCHOOL-SERVER,它会返回一个正确的答案。它只是与似乎不起作用的货运代理一起工作。

有人可以在这里指出我正确的方向吗?

4

2 回答 2

27

这与现在默认启用的新 DNSSEC 功能有关。这可能表明您使用的 DNS 解析器/转发器不支持 DNSSEC,因此响应似乎对您的服务器不安全。

您可以使用支持 DNSSEC 的解析器,也可以暂时禁用服务器上的该功能。要禁用它,只需在您的named.confor中使用这些参数named.conf.options

dnssec-enable no;
dnssec-validation no;
于 2013-02-17T16:56:21.543 回答
3

互联网可能是一个非常令人沮丧的地方,人们鹦鹉学舌相同的答案;代替解决方案,您将获得解决方法。

我可以告诉你一个事实,如果 DNS 服务器说它正在提供安全响应,那么它就是在提供安全响应。这里的问题是 DNS 转发器正在剥离 DNSSEC 签名,这似乎很常见,因为我还没有听说这是透明地完成的,所以您可能有一个转发器集。因此,如果您确实想以这种方式使用 DNSSEC,请在 named.conf.options 中禁用您的转发器:

options {
        directory "/var/cache/bind";
        //forwarders {
        //      8.8.8.8;
        //};

        dnssec-validation auto;
        dnssec-enable yes;
        dnssec-lookaside auto;
};
于 2019-12-05T22:34:00.913 回答