綁定沒有驗證 dnssec

奇怪的。即使我將綁定配置為，我的綁定也沒有驗證 dnssec。根據named -V具有BIND 9.8.2rc1-RedHat-9.8.2-0.10.rc1.el6_3.2內置 DLV 密鑰的版本。

在 named.conf 中的選項下

dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;

但是當我查詢一個已知的壞區域時，就像dig www.dnssec-failed.org @localhost我得到了 IP 地址一樣——而不是像我預期的那樣失敗。有什麼想法嗎？

不要問為什麼，但我遇到了同樣的問題，將 dnssec-validation 選項設置為 auto 而不是 yes 解決了這個問題

根據參考手冊，

“dnssec 驗證”

$$ … $$ 如果設置為“auto”，則啟用 DNSSEC 驗證，並使用 DNS 根區域的預設信任錨。

如果設置為“yes”，則啟用 DNSSEC 驗證，但必須使用“trusted-keys”或“managed-keys”語句手動配置信任錨。

因此，您必須將其設置為automode 或顯式include "/etc/bind.keys".

引用自：https://serverfault.com/questions/472606