Назад | Перейти на главную страницу

Понимание (и частичное отключение?) DNSSEC для внутреннего домена

Я настраиваю новую инфраструктуру DNS для нашей внутренней кластерной среды HPC. Это включает в себя обеспечение пути миграции из наших существующих органов DNS и доменов.

Для примера предположим, что у нас есть институциональная область example.edu. (На самом деле у нас есть настоящая .edu домен.) Наша группа использует поддомен rc.example.edu. Я создал новый внутренний центр для этого домена по адресу ns1.rc.example.edu, и я пересылаю это полномочие от нашего внутреннего преобразователя.

zone "rc.example.edu" IN {
    type forward;
    forward only;
    forwarders { 10.225.160.10; }; # ip address of ns1.rc.example.edu
};

Это работает, как ожидалось. Я могу запросить мой resolver1.rc.example.edu и получить адреса для имен в этом домене.

[root@resolver1 ~]# host -t A ns1.rc.colorado.edu
ns1.rc.colorado.edu has address 10.225.160.10

Но у нас есть устаревший сервер имен в xcatmn.rc.local которую я хочу решить во время периода миграции. Я добавил это в resolver1с named.conf для отражения предыдущей конфигурации пересылки:

zone "rc.local" IN {
    type forward;
    forward only;
    forwarders { 10.16.0.5; }; # ip address of xcatmn.rc.local
};

Но когда я пытаюсь запросить записи из этого домена, я получаю SERVFAIL.

[root@resolver1 ~]# host -t A xcatmn.rc.local
createfetch: xcatmn.rc.local A
validating @0x7ffba86868d0: xcatmn.rc.local A: bad cache hit (xcatmn.rc.local/DS)
error (broken trust chain) resolving 'xcatmn.rc.local/A/IN': 10.16.0.5#53
client 10.225.160.52#54752 (xcatmn.rc.local): query failed (SERVFAIL) for xcatmn.rc.local/IN/A at query.c:7004
createfetch: xcatmn.rc.local A
validating @0x7ffba86868d0: xcatmn.rc.local A: bad cache hit (xcatmn.rc.local/DS)
error (broken trust chain) resolving 'xcatmn.rc.local/A/IN': 10.16.0.5#53
client 10.225.160.52#37688 (xcatmn.rc.local): query failed (SERVFAIL) for xcatmn.rc.local/IN/A at query.c:7004
Host xcatmn.rc.local not found: 2(SERVFAIL)

Если я отключу DNSSEC в resolver1 этот запрос выполнен успешно; но я действительно не хочу отключать его для всех разрешений. Самое большее, я хочу отключить DNSSEC для rc.local. только домен.

dnssec-enable no;
dnssec-validation no;

Это возможно? Я не очень хорошо понимаю DNSSEC, поэтому не знаю, почему запросы к rc.example.edu успешны (без моей подписи), а запросы к rc.local неудачны.

Что я делаю не так? Что мне делать вместо этого? (Я знаю, что не должен использовать .local домен. Это попытка отойти от него, поддерживая существующие имена в этом домене в течение периода миграции.)