Eu encontrei uma resposta. A linha seguinte em /etc/bind/named.conf.options
corrige:
---> dnssec-must-be-secure mydomain.local no; <---
Assim, o texto completo de /etc/bind/named.conf.options
será (ignorando comentários):
options {
directory "/var/cache/bind";
forwarders {
192.168.1.1;
};
dnssec-enable yes;
dnssec-validation yes;
dnssec-must-be-secure mydomain.local no;
auth-nxdomain no;
listen-on-v6 { any; };
};
UPDATE: Na verdade, neste ponto não sei dizer se eu realmente consertei o bind com essa linha ou não. De alguma forma, todas as consultas são bem-sucedidas agora, com ou sem essa linha. Se um especialista estiver presente aqui, por favor insira