一个客户的公司已经提出了一个灾难恢复计划,如果发生这种情况,它将从DNSSec恢复到正常的DNS 1)主要网站中断,需要更改许多DNSlogging 2)DNSSec存在一个certificate故障恢复的问题 3)我们的一级DNSSec提供商存在问题 将function性DNSSec实施恢复为“常规”DNS时是否有任何可预见的问题?
我知道DNSsec的总体目的是防止欺骗您的DNSlogging。 但是,DNSsec主动防止使用哪些实际进程/例程?
当我在http://netalyzr.icsi.berkeley.edu/上运行networking分析器时,它报告: parsing器无法处理以下testingtypes: Medium (~1300B) TXT records Large (~3000B) TXT records 它不validationDNSSEC。 它不通配符NXDOMAIN错误。 parsing器报告一些额外的属性。 隐藏他们。 Version: Microsoft DNS 6.1.7601 (1DB14556) 我已经尝试通过将MaximumUdpPacketSize设置为4096并重新启动( DNSregistry项 )来解决无法解决中型和大型查询的问题。 改变设置没有影响。 如何解决logging大小问题以及在保持所有标准DNSfunction正常工作的同时validationDNSSEC的能力?
我们的办公室服务器提供DNSSEC。 我已经用这个testing过了。 我如何在我的RHEL6工作站上使用DNSSEC? (对它没有束缚…) 是否可以添加可信任的密钥到工作站(即在/etc/resolv.conf)?
我正在使用DNSSEC运行BIND主/从设置,但是我的一些域使用Google Apps进行电子邮件服务。 Google不支持DNSSEC,BIND根本不喜欢它。 日志输出: Sep 6 17:12:51 srv549 named[5376]: error (broken trust chain) resolving 'ALT2.ASPMX.L.GOOGLE.COM.dlv.isc.org/DLV/IN': 70.32.45.42#53 Sep 6 17:12:51 srv549 named[5376]: error (broken trust chain) resolving 'ALT2.ASPMX.L.GOOGLE.COM/A/IN': 70.32.45.42#53 Sep 6 17:12:51 srv549 named[5376]: error (broken trust chain) resolving 'ALT2.ASPMX.L.GOOGLE.COM/AAAA/IN': 70.32.45.42#53 Sep 6 17:12:51 srv549 named[5376]: validating @0x7f755cb83950: ALT2.ASPMX.L.GOOGLE.COM AAAA: bad cache hit (ALT2.ASPMX.L.GOOGLE.COM.dlv.isc.org/DLV) Sep 6 […]
我在局域网上运行一个只能转发的BIND9服务器,每天都会logging数百个错误,如下所示: Aug 29 18:38:29 nuc named[850]: error (no valid RRSIG) resolving 'ubuntu.com/DS/IN': 75.75.75.75#53 Aug 29 18:38:31 nuc named[850]: validating @0x7fc6d826ed50: com SOA: got insecure response; parent indicates it should be secure Aug 29 18:38:31 nuc named[850]: error (no valid RRSIG) resolving 'medium.com/DS/IN': 75.75.75.75#53 Aug 29 18:38:31 nuc named[850]: validating @0x7fc6d4014b80: com SOA: got insecure response; […]
我们一直在考虑使用像OpenDNS(或任何人)这样的第三方recursionDNS提供商来提供一层反钓鱼和DNSSECvalidation(而不必在内部实现这些function)。 要允许内部(Windows域)DNS正常工作,这些recursionDNS提供程序通常在Windows DNS服务中configuration为DNS转发器吗? 外包recursionDNS时是否还有其他的最佳实践或考虑?
跑步绑定9.8.2。 我已经使用DNS主/服务器对成功设置了“视图”的TSIG密钥。 每个视图的两台服务器之间的区域传输按预期工作。 在我们投入生产之前,我需要对一些事情做一些澄清。 我们的prod服务器也允许区域传输到除了从服务器以外的其他几个服务器。 我们有一个类似于这个的acl设置: other_xfer_allowed { xxxx; // This is our Secondary DNS server 127.0.0.1; // localhost can make zone transfers xxxx/24; // Corporate server farm range is allowed to make zone-transfers xxxx/24; // NAT pool for internal DNS server Zone Transfers }; // end of "other_xfer_allowed" ACL 而在“允许转移”声明中,我们已经包含了该ACL。 我的问题是: 现在我们正在使用TSIG,我需要与所有这些其他服务器的pipe理员并提供他们我的TSIG密钥,以便他们可以请求区域传输? 我想这样的事情需要做,因为它需要在从服务器上configuration,但我不确定。 下一个, […]
我有一个本地域mydomain.local工作的DNS服务器。 我想configurationbind9工作在默认configuration,除了这个区域,我想转发查询本地DNS服务器。 这里是我的configuration(Ubuntu 14.04): /etc/bind/named.conf.local: zone "mydomain.local" IN { type forward; forward only; forwarders { 192.168.1.1; }; }; 但是,当我尝试nslookup server.mydomain.local我在syslog中跟随: error (broken trust chain) resolving 'server.mydomain.local/A/IN': 192.168.1.1#53 据我了解,这是由于DNSSEC。 我不想在全球范围内禁用DNSSEC,但是我确实想要为这个区域禁用DNSSEC。 可能吗? 请不要build议使用type slave; 区。 我想用前锋区做到这一点
我想知道如何在auto-dnssec环境中处理文件。 我当前的设置(非DNSSEC)将区域文件放在/var/named/data 。 这些文件然后由绑定服务器读取。 如果我启用自动签名,区域文件将更改? 或者将绑定在内部保持签名区域? 如果以前发生的事情,傀儡可能不是一个好主意部署DNS区域了。