Entendendo (e desativando parcialmente?) DNSSEC para um domínio interno

4

Estou configurando uma nova infraestrutura de DNS para nosso ambiente de cluster HPC interno. Isso envolve o fornecimento de um caminho de migração de nossas autoridades e domínios DNS existentes.

Por exemplo, digamos que temos um domínio institucional de example.edu . (Na verdade, temos um domínio .edu real.) Nosso grupo usa o subdomínio rc.example.edu . Eu configurei uma nova autoridade interna para este domínio em ns1.rc.example.edu e estou encaminhando para essa autoridade de nosso resolvedor interno.

zone "rc.example.edu" IN {
    type forward;
    forward only;
    forwarders { 10.225.160.10; }; # ip address of ns1.rc.example.edu
};

Isso funciona como esperado. Posso consultar meu resolver1.rc.example.edu e obter endereços para nomes nesse domínio.

[root@resolver1 ~]# host -t A ns1.rc.colorado.edu
ns1.rc.colorado.edu has address 10.225.160.10

Mas temos um servidor de nomes herdado em xcatmn.rc.local que também desejo resolver durante o período de migração. Então, adicionei isso a resolver1 ' named.conf ' para espelhar a configuração de encaminhamento anterior:

zone "rc.local" IN {
    type forward;
    forward only;
    forwarders { 10.16.0.5; }; # ip address of xcatmn.rc.local
};

Mas quando tento consultar registros deste domínio, recebo SERVFAIL .

[root@resolver1 ~]# host -t A xcatmn.rc.local
createfetch: xcatmn.rc.local A
validating @0x7ffba86868d0: xcatmn.rc.local A: bad cache hit (xcatmn.rc.local/DS)
error (broken trust chain) resolving 'xcatmn.rc.local/A/IN': 10.16.0.5#53
client 10.225.160.52#54752 (xcatmn.rc.local): query failed (SERVFAIL) for xcatmn.rc.local/IN/A at query.c:7004
createfetch: xcatmn.rc.local A
validating @0x7ffba86868d0: xcatmn.rc.local A: bad cache hit (xcatmn.rc.local/DS)
error (broken trust chain) resolving 'xcatmn.rc.local/A/IN': 10.16.0.5#53
client 10.225.160.52#37688 (xcatmn.rc.local): query failed (SERVFAIL) for xcatmn.rc.local/IN/A at query.c:7004
Host xcatmn.rc.local not found: 2(SERVFAIL)

Se eu desabilitar o DNSSEC em resolver1 , essa consulta será bem-sucedida; mas eu realmente não quero desativá-lo para toda a resolução. No máximo, quero desabilitar o DNSSEC para o rc.local . somente domínio.

dnssec-enable no;
dnssec-validation no;

Isso é possível? Eu realmente não entendo bem o DNSSEC, então eu não sei porque as consultas para rc.example.edu são bem sucedidas (sem que eu tenha feito nenhum tipo de assinatura) enquanto as consultas para rc.local não são bem-sucedidas.

O que estou fazendo de errado? O que devo fazer em vez disso? (Eu sei que não deveria estar usando o domínio .local . Esta é uma tentativa de migrar para longe dele, ao mesmo tempo em que dá suporte a nomes existentes nesse domínio durante o período de migração.)

    
por anderbubble 19.02.2015 / 18:17

0 respostas