Я настраиваю новую инфраструктуру DNS для нашей внутренней кластерной среды HPC. Это включает в себя обеспечение пути миграции из наших существующих органов DNS и доменов.
Для примера предположим, что у нас есть институциональная область example.edu
. (На самом деле у нас есть настоящая .edu
домен.) Наша группа использует поддомен rc.example.edu
. Я создал новый внутренний центр для этого домена по адресу ns1.rc.example.edu
, и я пересылаю это полномочие от нашего внутреннего преобразователя.
zone "rc.example.edu" IN {
type forward;
forward only;
forwarders { 10.225.160.10; }; # ip address of ns1.rc.example.edu
};
Это работает, как ожидалось. Я могу запросить мой resolver1.rc.example.edu
и получить адреса для имен в этом домене.
[root@resolver1 ~]# host -t A ns1.rc.colorado.edu
ns1.rc.colorado.edu has address 10.225.160.10
Но у нас есть устаревший сервер имен в xcatmn.rc.local
которую я хочу решить во время периода миграции. Я добавил это в resolver1
с named.conf
для отражения предыдущей конфигурации пересылки:
zone "rc.local" IN {
type forward;
forward only;
forwarders { 10.16.0.5; }; # ip address of xcatmn.rc.local
};
Но когда я пытаюсь запросить записи из этого домена, я получаю SERVFAIL
.
[root@resolver1 ~]# host -t A xcatmn.rc.local
createfetch: xcatmn.rc.local A
validating @0x7ffba86868d0: xcatmn.rc.local A: bad cache hit (xcatmn.rc.local/DS)
error (broken trust chain) resolving 'xcatmn.rc.local/A/IN': 10.16.0.5#53
client 10.225.160.52#54752 (xcatmn.rc.local): query failed (SERVFAIL) for xcatmn.rc.local/IN/A at query.c:7004
createfetch: xcatmn.rc.local A
validating @0x7ffba86868d0: xcatmn.rc.local A: bad cache hit (xcatmn.rc.local/DS)
error (broken trust chain) resolving 'xcatmn.rc.local/A/IN': 10.16.0.5#53
client 10.225.160.52#37688 (xcatmn.rc.local): query failed (SERVFAIL) for xcatmn.rc.local/IN/A at query.c:7004
Host xcatmn.rc.local not found: 2(SERVFAIL)
Если я отключу DNSSEC в resolver1
этот запрос выполнен успешно; но я действительно не хочу отключать его для всех разрешений. Самое большее, я хочу отключить DNSSEC для rc.local
. только домен.
dnssec-enable no;
dnssec-validation no;
Это возможно? Я не очень хорошо понимаю DNSSEC, поэтому не знаю, почему запросы к rc.example.edu
успешны (без моей подписи), а запросы к rc.local
неудачны.
Что я делаю не так? Что мне делать вместо этого? (Я знаю, что не должен использовать .local
домен. Это попытка отойти от него, поддерживая существующие имена в этом домене в течение периода миграции.)