我有一个本地域mydomain.local工作的DNS服务器。 我想configurationbind9工作在默认configuration,除了这个区域,我想转发查询本地DNS服务器。 这里是我的configuration(Ubuntu 14.04):
/etc/bind/named.conf.local: zone "mydomain.local" IN { type forward; forward only; forwarders { 192.168.1.1; }; }; 但是,当我尝试nslookup server.mydomain.local我在syslog中跟随:
error (broken trust chain) resolving 'server.mydomain.local/A/IN': 192.168.1.1#53
据我了解,这是由于DNSSEC。 我不想在全球范围内禁用DNSSEC,但是我确实想要为这个区域禁用DNSSEC。 可能吗?
请不要build议使用type slave; 区。 我想用前锋区做到这一点
我find了答案。 在/etc/bind/named.conf.options以下行修复了它:
---> dnssec-must-be-secure mydomain.local no; <---
所以,/ /etc/bind/named.conf.options将是(跳过评论):
options { directory "/var/cache/bind"; forwarders { 192.168.1.1; }; dnssec-enable yes; dnssec-validation yes; dnssec-must-be-secure mydomain.local no; auth-nxdomain no; listen-on-v6 { any; }; };
更新:其实,在这一点上,我不能告诉我是否确实固定绑定或没有。 不知何故,现在所有的查询都成功了,不pipe有没有这条线。 如果有专家在这里,请切入
但是如果你创build了一个“本地”区域,“mydomain.local”的父区域,并将你指定的服务器的ip指定为ns。这将使得dnssec函数的值为auto。