奇怪。 即使我configuration它,我的绑定不validationdnssec。 根据named -V是BIND 9.8.2rc1-RedHat-9.8.2-0.10.rc1.el6_3.2 ,它具有内置的DLV密钥。
在named.conf中的选项下
dnssec-enable yes; dnssec-validation yes; dnssec-lookaside auto;
但是,当我查询一个已知的不良区域时,就像在dig www.dnssec-failed.org @localhost我得到了IP地址,而不是像我期待的那样失败。 有什么想法吗?
不要问为什么,但我有同样的问题,并将dnssec-validation选项设置为auto,而不是解决问题
根据参考手册 ,
“DNSSECvalidation”
[…]
如果设置为“自动”,则启用DNSSECvalidation,并使用DNS根区域的默认信任锚点。
如果设置为“是”,则启用DNSSECvalidation,但必须使用“受信任密钥”或“托pipe密钥”语句手动configuration信任锚点。
因此,您必须将其设置为auto模式,或者明确include "/etc/bind.keys" 。
如果设置为“自动”,则启用DNSSECvalidation,并使用DNS根区域的默认信任锚点。
所使用的默认信任锚是从bind.keys,默认情况下预装出