我正在尝试在我的学校网络上的 Centos 6.3 上运行 Bind,但在使外部查询正常工作时遇到问题。
我可以挖掘/查询在我的服务器上运行的我自己的区域,但是一旦我挖掘外部域名,我就会在日志文件中看到以下内容:
NS: got insecure response; parent indicates it should be secure
我禁用了 dnssec,但没有结果。 我正在使用学校的 DNS 转发器,帮助台目前不知道出了什么问题。
但是,我可以挖掘@SCHOOL-SERVER,它会返回正确的答案。只是与货运代理合作似乎不起作用。
有人能指出我正确的方向吗?
这与现在默认启用的新 DNSSEC 功能有关。这可能表明您使用的 DNS 解析器/转发器不支持 DNSSEC,因此响应对于您的服务器来说似乎不安全。
您可以使用支持 DNSSEC 的解析器或暂时禁用服务器上的该功能。要禁用它,只需在
named.conf
或 named.conf.options
: 中使用这些参数即可
dnssec-enable no;
dnssec-validation no;
互联网可能是一个非常令人沮丧的地方,人们鹦鹉学舌地重复相同的答案;给你的是解决方案,而不是解决方案。
我可以告诉你一个事实,如果 DNS 服务器说它正在提供安全响应,那么它就正在提供安全响应。这里的问题是 DNS 转发器正在剥离 DNSSEC 签名,这似乎很常见,而且由于我没有听说过这是透明完成的,因此您可能有一个转发器集。因此,如果您确实想以这种方式使用 DNSSEC,请在named.conf.options 中禁用转发器:
options {
directory "/var/cache/bind";
//forwarders {
// 8.8.8.8;
//};
dnssec-validation auto;
dnssec-enable yes;
dnssec-lookaside auto;
};
简单改变
dns-validation auto;
到
dns-validation yes;
在named.conf中