CentOS 7系统里起了一个DNS Server,一切顺利,针对本地域的各项解析都很成功,欢欣鼓舞。
在欢欣鼓舞时却发觉DNS服务器无法进行域外域名解析,查找原因发现除了本地定义的域之外所有域名——既外域解析无返回结果,DNS路由跟踪后发现无法解析根DNS。
甚为不解,我已经设置了forwarder的上游DNS地址呀,无奈开始debug吧。
查看debug log后看到如下错误
validating @0x7f1e60672c80: . NS: got insecure response; parent indicates it should be secure
insecurity proof failed说明了一个重要的问题:在跟根DNS查询的时候引起了签名失败,也就是我的DNS携带了一些key值去根DNS做解析,根DNS不认识这些key,毕竟我自己起的一个DNS server不可能将自己的key值同步到13台根DNS。
决方案:
将named.conf中所有dnssec相关的注释掉或者关闭,比如我的DNS服务器中自行开启了dnssec-enable和dnssec-validation,那么就将其关闭既修改其值从yes改为no。
重启dns service
