Estou configurando uma nova infraestrutura de DNS para nosso ambiente de cluster HPC interno. Isso envolve o fornecimento de um caminho de migração de nossas autoridades e domínios DNS existentes.
Por exemplo, digamos que temos um domínio institucional de example.edu
. (Na verdade, temos um domínio .edu
real.) Nosso grupo usa o subdomínio rc.example.edu
. Eu configurei uma nova autoridade interna para este domínio em ns1.rc.example.edu
e estou encaminhando para essa autoridade de nosso resolvedor interno.
zone "rc.example.edu" IN {
type forward;
forward only;
forwarders { 10.225.160.10; }; # ip address of ns1.rc.example.edu
};
Isso funciona como esperado. Posso consultar meu resolver1.rc.example.edu
e obter endereços para nomes nesse domínio.
[root@resolver1 ~]# host -t A ns1.rc.colorado.edu
ns1.rc.colorado.edu has address 10.225.160.10
Mas temos um servidor de nomes herdado em xcatmn.rc.local
que também desejo resolver durante o período de migração. Então, adicionei isso a resolver1
' named.conf
' para espelhar a configuração de encaminhamento anterior:
zone "rc.local" IN {
type forward;
forward only;
forwarders { 10.16.0.5; }; # ip address of xcatmn.rc.local
};
Mas quando tento consultar registros deste domínio, recebo SERVFAIL
.
[root@resolver1 ~]# host -t A xcatmn.rc.local
createfetch: xcatmn.rc.local A
validating @0x7ffba86868d0: xcatmn.rc.local A: bad cache hit (xcatmn.rc.local/DS)
error (broken trust chain) resolving 'xcatmn.rc.local/A/IN': 10.16.0.5#53
client 10.225.160.52#54752 (xcatmn.rc.local): query failed (SERVFAIL) for xcatmn.rc.local/IN/A at query.c:7004
createfetch: xcatmn.rc.local A
validating @0x7ffba86868d0: xcatmn.rc.local A: bad cache hit (xcatmn.rc.local/DS)
error (broken trust chain) resolving 'xcatmn.rc.local/A/IN': 10.16.0.5#53
client 10.225.160.52#37688 (xcatmn.rc.local): query failed (SERVFAIL) for xcatmn.rc.local/IN/A at query.c:7004
Host xcatmn.rc.local not found: 2(SERVFAIL)
Se eu desabilitar o DNSSEC em resolver1
, essa consulta será bem-sucedida; mas eu realmente não quero desativá-lo para toda a resolução. No máximo, quero desabilitar o DNSSEC para o rc.local
. somente domínio.
dnssec-enable no;
dnssec-validation no;
Isso é possível? Eu realmente não entendo bem o DNSSEC, então eu não sei porque as consultas para rc.example.edu
são bem sucedidas (sem que eu tenha feito nenhum tipo de assinatura) enquanto as consultas para rc.local
não são bem-sucedidas.
O que estou fazendo de errado? O que devo fazer em vez disso? (Eu sei que não deveria estar usando o domínio .local
. Esta é uma tentativa de migrar para longe dele, ao mesmo tempo em que dá suporte a nomes existentes nesse domínio durante o período de migração.)
Tags bind domain-name-system dnssec