У меня работает сервер привязки, который является авторитетным для одного домена, например ab.dc.example.com, и это DNS-сервер только для пересылки. Он будет перенаправлять все запросы, кроме ab.dc.example.com, например, на набор серверов.
И тот же набор серверов, на который он пересылает запрос, также будет действовать как подчиненные серверы имен для домена ab.dc.example.com. Обычно эти серверы будут получать обновления передачи зоны с безопасным tsig.
У меня есть безопасная настройка передачи зоны для этих серверов с ключевым оператором в привязке.
Теперь проблема в том, что происходит безопасная передача зоны, но нормальная пересылка запросов не происходит. Если я отключу безопасную передачу зоны (tsig) для одного из ведомых устройств (который также является сервером, на который перенаправляются запросы), пересылка работает нормально.
Кто-нибудь может мне помочь ??
Мои конфиги показаны ниже.
zone "somedomain.com" in {
type master;
file "/etc/bind/zones/master.somedomain.com";
allow-transfer { key somedomain.com; };
allow-query { any; };
allow-update { key somedomain.com; };
notify yes;
};
И мой ключевой файл конфигурации, содержащий ключевое утверждение, показан ниже.
key somedomain.com {
algorithm hmac-md5;
secret "s0G8oHowQLsdfsgdsdgsdgkngsgdslgllsdgllsdjgljlsdgjlSTWaFwp5JNaZBSN0OW4clrtHtEfFPyf3nBNY6xR+1Q==";
};
server 172.16.202.1 {
keys {
somedomain.com;
};
};
server 172.16.202.2 {
keys {
somedomain.com;
};
};
server 172.16.202.3 {
keys {
somedomain.com;
};
};
server 172.16.202.4 {
keys {
somedomain.com;
};
};
И моя зонная передача работает идеально с вышеуказанными конфигурациями .. Но когда я пересылаю другие запросы, которые не являются авторитетными для того же ведомого IP (172.16.202.1,2,3,4), я не могу этого сделать.
у меня есть dnssec-enable да; в моих опциях named.conf.
Единственное, что я могу извлечь из журналов, это что-то вроде следующего.
;; TSIG PSEUDOSECTION:
somedomain.com 0 ANY TSIG hmac-md5.sig-alg.reg.int. 1380337474 300 0 22003 BADSIG 0
Однако я могу запросить эти подчиненные серверы имен, куда я пересылаю свои запросы вручную, используя dig, как показано ниже.
dig -y 'somedomain.com:bgsdgblsnglsnglsnghlsdnghlsdnlhn==' yahoo.com @172.16.202.1
С уважением, Сарат