我在我的DNS上运行BIND和opendnssec有一个区域myzone.fr。 新的DS需要发送到registry,如ods-enforcerd的日志所示: ods-enforcerd:警告:新的KSK已经达到就绪状态; 请提交DS for myzone.fr并使用ods-ksmutil密钥ds – 当DS出现在DNS中时看到。 根据openddnssec文档,我使用位于conf.xml中的<DelegationSignerSubmitCommand />来运行一个脚本,该脚本应该向我发送已准备好KSK的区域列表。 对于我的testing,我正在使用simple-dnskey-mailer.sh脚本。 但脚本不启动。 这个命令启动的条件是什么? 感谢您的回答
我正在研究这个 Deterlab练习,并且在将DNSSEC添加到绑定时遇到了一些问题。 服务器运行BIND 9.7.0-P1。 我所做的configuration如下:google.com的签名区域: zonesigner -genkeys google.com google.com下添加了署名为named.conf.local的文件。 添加到named.conf.options中: dnssec-enabled yes; dnssec-validation yes; 添加到named.conf中: include "/etc/bind/bind.keys"; 用bind.keys: trusted-keys { . 257 3 8 "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq QxA+Uk1ihz0="; }; 所有文件都使用named-checkconf编译。 当我重新启动绑定并运行挖我仍然没有得到AD位: sudo dig +dnssec www.google.com A ; <<>> DiG 9.7.0-P1 <<>> +dnssec www.google.com A ;; global options: +cmd ;; Got answer: ;; […]
我在Ubuntu 16.04上运行PowerDNS 4.0.0a2的主站和四个从站。 所有机器都在mariadb上使用mysql后端。 所有的奴隶都build立与MySQL复制对主数据同步的罚款。 在一个区域上创buildDNSSEC很容易用pdnsutil secure-zone domain.com来完成,而且似乎可以很好地适用于下面的dnssec查找。 但签名似乎不同于每个名称服务器。 例如,主人呈现一个签名,而所有的奴隶呈现自己的签名。 示例输出: 奴隶1 # dig +dnssec +short domain.com @ns1.mynameserver.com A 13 3 900 20161208000000 20161117000000 24981 mynameserver.com. 3/zXyqf1oK4yCSWjLqI6Lx62SzlKHk/909goNWMZ2DrlBFBXNMM3xJlU WWaTpbo8saao+TIsR65aNgYCe+vmUA== 奴隶2 # dig +dnssec +short domain.com @ns2.mynameserver.com A 13 3 900 20161208000000 20161117000000 24981 mynameserver.com. bbZSlERmHLB33uMbwCB5fiBSzrCfvIrws3TK9qIbMvE8QdzTI9411Ibl Dtpd9ePYF44PlgdVrtS2IZXnI94GcA== 我所做的每个在线DNStesting似乎都没有提到任何问题,例如http://dnssec-debugger.verisignlabs.com/以及我已经设置了DNNSEC的注册pipe理机构。 看看networking周围的其他区域似乎并不提供不同的签名。 所以问题是如果不同的签名是一个问题或不是?
我有一个主BIND9(v9.10.3)正确地服务几个签名的区域(validation与dnsviz等) 我无法在任何文档中find重新加载和退出静态区域文件的正确方法。 (我的区域不是dynamic的)。 为了使更新区域可靠地服务,我必须停止绑定,删除.signed,.signed.jnl和.jbk文件,更新/replace区域主文件,然后重新启动。 不好,但没有别的我尝试过工作。 我可以更新区域主,然后执行(哪个?)rndc命令重新加载和退出区域? 那这个行动的结果会不会有延误? 有没有在线DNSSEC绑定pipe理员,你发现有帮助? 我有一个很好的数字书签,但似乎没有解决这个基本的操作,否则我错过了。 谢谢!
有谁知道为什么DNSKEY RRsigs不会重新签署dynamic更新? 问候
我们的一些用户报告有访问我们网站的问题(“无回复”)。 怀疑DNS问题,我们已经执行了一些在线testing,只返回这个警告: Your nameservers do not provide DNSSEC information with their answers ; no DNSKEY from ns1.example.com. ; no RRSIG recs from ns1.example.com. 我的问题是:这可能会阻止访问任何客户?
我正在为networkingdeviseDNS服务,并有一些架构问题。 O'Reilly / Cricket Liu的DNS书和NIST的DNS安全指南并没有解决这些问题,除非是非常一般的方式。 这里是build议的networking,它具有内部(RFC 1918空间)和DMZ段(具有多个服务器,不仅仅是DNS服务器)以及在外部可变色的邮件和www服务器。 DNS服务器是蓝色的框: 这是要求: DNSSEC支持 在内部networking上,委托给RFC 1918空间的内部区域 单独的权威和recursion服务器 隐藏的主(又名隐藏的主)允许区域转移到奴隶,但没有解决任何请求 所有名称服务器运行chrooted(在FreeBSD上绑定的默认) 这是我的问题: 这个devise有什么明显的缺陷吗? 这里有没有缺失或无关的元素? 确定运行与内部从服务器在同一子网上的隐藏的主服务器? 鉴于内部和DMZnetworking上的DNSstream量(<1 Mbps)相对较低,在授权服务器上运行jails中的仅caching服务器(BSD – 说VM)是否存在安全问题? 还是应该在专用机器上? 提前致谢!
我试图find一个错误的起源,我无法摆脱verisigndebugging器Verisigndebugging器 挖查询服务器就好了 dig ex-mailer.com ANY @108.61.190.64 我的所有日志在debugging器模式下都是干净的,没有错误的日志输出 事实上,任何不妥之处都在于数据包捕获,看起来像是过度分裂 我的网卡上的MTU是1500 vtnet0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=6c03bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,TSO4,TSO6,VLAN_HWTSO,LINKSTATE,RXCSUM_IPV6,TXCSUM_IPV6> ether 56:00:00:05:53:09 inet6 2001:19f0:6c00:8141::64 prefixlen 64 inet6 fe80::5400:ff:fe05:5309%vtnet0 prefixlen 64 scopeid 0x1 inet 108.61.190.64 netmask 0xffffff00 broadcast 108.61.190.255 nd6 options=23<PERFORMNUD,ACCEPT_RTADV,AUTO_LINKLOCAL> media: Ethernet 10Gbase-T <full-duplex> status: active 但pmtu看起来顶着: ping -s 1500 -M do 108.61.190.64 From 192.168.0.68: icmp_seq=1 Frag needed and […]
有没有办法从运行的绑定服务器上的区域中删除所有与DNS相关的东西? 我像这里描述的configuration绑定。 如果我使用rndc signing -clear all domain.tld nothng发生在区域。 如果我通过rndc delzone domain.tld删除了dnssec签名区域,并通过rndc addzone domain.tld …重新创build它,那么将会自动重新创build带有相关dnssec数据的domain.tld.jnl文件,并且该区域将再次被dnssec签名。 我怎样才能从rndc区域中删除所有与dnssec相关的数据?
我目前正在将DNS服务器从Windows 2012 R2迁移到Windows 2016.但是,我遇到了DNSSEC的问题。 到目前为止,我只是把一个域,一个未使用的testing域,从Win2012服务器移到了Win2016服务器,而且我在几乎每个我testing过的DNSSECvalidation工具上都得到了DNSSECvalidation错误(“No RRSIGs found”,“Nameserver does不做DNSSEC额外处理。“,”没有find与DS RR对应的密钥生成的有效RRSIG,覆盖DNSKEY RRset,导致没有安全入口点(SEP)进入该区域“等) 在Win2012框中,DNS服务器configuration对话框有一个选项“为远程响应启用DNSSECvalidation”: Windows 2016上缺less相同的选项: 帮忙,这是怎么回事? 显然,其他人遇到同样的问题,这里有两个其他的讨论,当我用googlesearch这个问题时: http ://webcache.googleusercontent.com/search?q=cache:fEdkPUHEA40J: lists.cloudapp.net/pipermail/windns- users / 2016-July / 000133.html +&cd = 2&hl = en&ct = clnk https://social.technet.microsoft.com/Forums/en-US/34e0d2b2-438b-4116-9329-78ecc1e1d550/dnssec-validation-fail -in-Windows的服务器-2016 更新:经过一番谷歌search,我发现这篇文章: http://info.menandmice.com/blog/bid/88297/Windows-2012-Server-Enabling-DNSSEC-validation …有一个命令行选项来启用DNSSEC: DnsCmd.exe /Config /enablednssec 1 …为我解决了这个问题。