У меня есть рабочий DNS-сервер для локального домена mydomain.local. Я пытаюсь настроить bind9 для работы в конфигурации по умолчанию, за исключением этой зоны, для которой я хочу перенаправлять запросы на локальный DNS-сервер. Вот конфиг, который у меня есть (ubuntu 14.04):
/etc/bind/named.conf.local:
zone "mydomain.local" IN {
type forward;
forward only;
forwarders {
192.168.1.1;
};
};
Но когда я пытаюсь nslookup server.mydomain.local Я получаю следующее в системном журнале:
error (broken trust chain) resolving 'server.mydomain.local/A/IN': 192.168.1.1#53
Насколько я понимаю, это из-за DNSSEC. Я не хочу отключать DNSSEC глобально, но я хочу отключить DNSSEC для этой самой зоны. Является ли это возможным?
Пожалуйста, не предлагайте использовать type slave; зона. Я хочу добиться этого с помощью передней зоны
Я нашел ответ. Следующая строка в /etc/bind/named.conf.options исправляет это:
---> dnssec-must-be-secure mydomain.local no; <---
Итак, полный текст /etc/bind/named.conf.options будет (без комментариев):
options {
directory "/var/cache/bind";
forwarders {
192.168.1.1;
};
dnssec-enable yes;
dnssec-validation yes;
dnssec-must-be-secure mydomain.local no;
auth-nxdomain no;
listen-on-v6 { any; };
};
ОБНОВИТЬ: Фактически, на данный момент я не могу сказать, действительно ли я исправил привязку к этой строке или нет. Каким-то образом все запросы теперь успешны, с этой строкой или без нее. Если здесь присутствует эксперт, прошу скинуться
Но если вы создадите зону «local», родительскую зону для «mydomain.local», и обозначите как ns IP-адрес сервера, который вы переадресовываете. Это заставит функцию dnssec со значением auto.