このトピックに関するドキュメントの説明が必要で、次の詳細情報が必要ですが、具体的ではありません。
以下は DNS BIND 9.9 構成の一部です。ほとんどの場合、前の部分を読むと、1つを除いてすべてが明確です。この DNS は、bc が 1.2.3.4 および 1.2.3.4.5 で処理される abc などの特定のドメインに対して特権を持っています。次のようにフォワーダを設定すると、読み取りですべての確認のために上記の2つのDNSに移動してローカルにキャッシュする必要がありますが、NSはこのドメインセックスに対する権限を持っているため、そのDNSのすべてのローカルもabcに対して検証されます。
したがって、正しく読み取られた場合、アイテムが「転送専用」を使用するときに出て解決する必要がある場合、そのNSでローカルに解決されるのはなぜですか?実際、このNSはabcが動作を変更する権限を持っています。配信はどのように機能しますか?
このファイルを含むDNSホストIPが1.1.1.1であるとします。
options {
listen-on port 53 { any; };
.
.
.
.
allow-query { any; };
allow-transfer { 1.1.1.11; 1.1.1.22; };
notify yes;
recursion yes;
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
forwarders {
1.2.3.4; # External DNS
1.2.3.5; # External DNS
};
forward only;
.
.
.
.
};
.
.
.
<Forward and Reverse Zones etc>
.
.
.
.
.
.
答え1
このforward only
オプションは、その機能の最も直感的な名前ではないかもしれません。デフォルトでは、このオプションは、定義されたフォワーダがダウンしているか応答しない場合にネームサーバーが別のリモートネームサーバーに接続しようとするのを防ぐこともできます。指定すると、forward only
ネームサーバーは依然として信頼性が高くキャッシュされたデータに基づいて応答しますが、他のネームサーバーを試すことなく、定義されたフォワーダに完全に依存します。このオプションは、ネームサーバーがその権限領域への応答を拒否する必要があるという意味ではありません。
つまり、オプションが次のような場合いいえ指定されたクエリがサーバーの許可領域の1つに渡されず、クエリの結果がまだキャッシュにない場合、サーバーは最初にフォワーダの1つにクエリします。フォワーダに接続できない場合、サーバーは通常通りルートサーバーで名前解決プロセスを開始します。