это - мой первый вопрос форуму здесь, поэтому отнеситесь ласково ко мне. Я - новичок Linux, и я экспериментировал с установкой моего собственного сервера Ubuntu (имя сервера: araliya, домен: autun.hom, IP: 192.168.1.99). Я устанавливаю все и установленный bind9 для установки сервера DNS с помощью учебного руководства, отправленного здесь (Как я реализовываю полную Конфигурацию DNS-сервера BIND9 с именем хоста?).
Все пошло на самом деле очень хорошо до шага в самом конце, когда я должен был проверить, работает ли сервер DNS. Когда я дал следующую команду, я получил хороший вывод.
> named-checkzone autun.hom /etc/bind/zones/db.autun.hom
zone autun.hom /IN: loaded serial 2
Ok
Однако, когда я сделал то же самое для своего обратного поиска DNS, я получил немного отличающийся ответ.
> named-checkzone autun.hom /etc/bind/zones/db.192
zone autun.hom /IN: loaded serial 1
Ok
В учебном руководстве было сказано, что вывод "именованных-checkzone" должен быть тем же для вперед и обратные зоны поиска. Но "загруженное последовательное" значение, которое я получаю, отличается между двумя ответами.
Когда я следовал за всеми другими тестами включая, выройте, имя хоста, nslookup, я получаю хороший вывод. На самом деле мой сервер DNS похож, он работает. Когда я проверил системный журнал, однако, я получаю много ошибок:
May 10 20:09:04 araliya named[1026]: validating @0x7f1314706200: . NS: got insecure response; parent indicates it should be secure
May 10 20:09:04 araliya named[1026]: error (insecurity proof failed) resolving './NS/IN': 192.168.1.1#53
May 10 20:09:12 araliya named[1026]: validating @0x7f1314706200: . NS: got insecure response; parent indicates it should be secure
May 10 20:09:12 araliya named[1026]: error (insecurity proof failed) resolving './NS/IN': 192.168.1.1#53
May 10 20:09:13 araliya named[1026]: error (network unreachable) resolving './NS/IN': 2001:7fe::53#53
May 10 20:09:24 araliya named[1026]: validating @0x7f1314706200: . NS: got insecure response; parent indicates it should be secure
May 10 20:09:24 araliya named[1026]: error (insecurity proof failed) resolving './NS/IN': 192.168.1.1#53
Странная вещь состоит в том, что все имена хостов разрешаются правильно, но похоже, что я, возможно, сделал ошибку где-нибудь. Кто-то может помочь мне точно определить, где ошибка?
Эти сообщения об ошибках связаны с dnssec. Удалите или прокомментируйте все строки в /etc/bind/named.conf.options
, которые запускаются с dnssec
и перезапускают bind9.
лучшее объяснение того, что идет на это, которое я мог найти, здесь :
, Когда блок проверки допустимости получает ответ от неподписанной зоны, которая имеет родителя со знаком, он должен подтвердить с родителем, что зону намеренно оставили неподписанной. Это делает это путем проверки через и проверенные записи NSEC/NSEC3 со знаком, что родительская зона не содержит записей DS для ребенка.
, Если блок проверки допустимости может доказать, что зона небезопасна, тогда ответ принят. Однако, если это не может, тогда это должно предположить, что небезопасный ответ подделка; это отклоняет ответ и регистрирует ошибку.
зарегистрированное ошибочное доказательство ненадежности "чтений, неудавшееся" и ", получило небезопасный ответ; родитель указывает, что это должно быть безопасно". (До BIND 9.7 зарегистрированная ошибка была "весьма безопасна". Это упомянуло зону, не ответ.)
Добавьте ниже строки к своему "/etc/default/bind9"
как указано ниже:
# startup options for the server
OPTIONS="-u bind -4"