dnssec

自動DNSSECキーロールオーバーなし
dnssec

自動DNSSECキーロールオーバーなし

DNSSECbindサーバーがあります。すべてがうまくいきます。 1つの小さな問題を除いて、自動ZSKロールオーバーが発生しないのはなぜですか? バインディングは、180日ごとに新しいZSKキーを生成してインストールすると思います。私の期待が間違っているか、設定に問題がありますか?ログにヒントが見つかりませんでした。どのようにデバッグできますか? 現在バージョン9.18.24を実行しています。 このポリシーは次のとおりです/etc/named.conf。 dnssec-policy "my_policy" { keys { ksk k...

Admin

NTPとBindの間の鶏か卵か問題
dnssec

NTPとBindの間の鶏か卵か問題

これは私が解決した問題のレポートです。しかし、このソリューションは他の人にも役立つと思います。 この問題は Raspbian 9.13 で発生します。まだ見つからなかった理由(おそらくハードウェア)のために、私のRaspberry Piベースのルータがクラッシュして再起動されませんでした。ラズベリーパイが初めて電源を入れたときに表示される虹のような画像に止まっていることがわかりました。 とにかく、Piを再起動し、すべてがいつものように動作しました。 動作しない唯一のものはBind 9です。デーモンは実行中ですが、名前解決は機能しません。 次のヒントを見てみま...

Admin

命名/バインディング構成をdnssec-policyに移行中に問題が発生しました。
dnssec

命名/バインディング構成をdnssec-policyに移行中に問題が発生しました。

利用可能なDNSSECネームサーバーがあります。 Fedoraの最新のBIND 9.18で動作します。私は両方のキー(KSK、ZSK)を持ち、両親(DNS方式)には有効なDSレコードがあり、すべてが正常です。本当。 DNSSECアナライザも設定に満足しています。 ところで、次のログメッセージが表示されました。 "auto-dnssec"オプションは廃止され、BIND 9.19から削除されます。 dnssec-policyに移行します。 9.19アップデートがいつプッシュされるかわかりません。しかし、私はそれを準備しようとし、次の構成を置き換えました(ゾー...

Admin

バインディング同期不明なコマンド
dnssec

バインディング同期不明なコマンド

誰でもバインディングログの次のメッセージを理解するのに役立ちます。 sync 127.in-addr.arpa(unknown command): 2 Time(s) sync domain.com(unknown command): 2 Time(s) これはエラーでも警告でもありません。すべてがうまく機能しており、どこにも問題はありません。問題を解決するにはどうすればよいですか?私は何もグーグルできないようです。よろしくお願いします! ...

Admin

信頼できると報告されていないサーバーでDNSSECが正しく構成されている場合、リゾルバーは何をしますか?
dnssec

信頼できると報告されていないサーバーでDNSSECが正しく構成されている場合、リゾルバーは何をしますか?

DNSSECでは、私のデータNS1とNS2レジストラに保存されているデータは信頼できるものでなければなりませんか、それともドメインの責任のみを要求しますか?クエリに応答する権限がないDNSサーバーかもしれませんか? その時点で何が起こったのかについての具体的な説明はありますか? BIND DNSSECガイドから 登録機関によって作成されたfbi.govネームサーバーが信頼できないが、すべての適切な記録がある場合、上記のns1シナリオではどうなりますか? ...

Admin

dnscrypt-proxy - dnssecの結果が得られない
dnssec

dnscrypt-proxy - dnssecの結果が得られない

dnscrypt-proxyをインストールし、dnssecサポートプロバイダを使用していますが、設定をテストしてもdnssec情報を取得できません。 dig @127.0.0.1 -p 5300 weather.com +dnssec +multi ; <<>> DiG 9.11.0-P3 <<>> @127.0.0.1 -p 5300 weather.com +dnssec +multi ; (1 server found) ;; global options: +cmd ;; Got answer: ...

Admin

BINDでDNSSECの有効化と無効化領域を混在させることはできますか?
dnssec

BINDでDNSSECの有効化と無効化領域を混在させることはできますか?

BINDのゾーンセットに12のドメインが構成されており、DNSSECが有効になっている新しいドメインを追加する必要があります。 DNSSECを有効にする場合: options { dnssec-enable yes; dnssec-validation yes; }; 他のドメインが破損していますか?ではないようですが、確認したかったです。 ...

Admin

DNSSEC:DSレコードをどのように転送し、最終的に親領域に到達する必要がありますか?
dnssec

DNSSEC:DSレコードをどのように転送し、最終的に親領域に到達する必要がありますか?

私のメモにはハッシュが安全に送信され、親領域に保存されるべきであることが示されているので、その後は何をすべきですか? dnssec-keygen -a RSASHA256 -b 1024 -n ZONE mydomain.net dnssec-keygen -a RSASHA256 -b 2048 -n ZONE -f KSK mydomain.net dnssec-signzone -g -o mydomain.net -N increment -k Kmydomain.net.+008+27724 mydomain.net.rev Kmydomain...

Admin

DNSSECをローカルで確認するには?
dnssec

DNSSECをローカルで確認するには?

ローカルで信頼チェーン確認プロセスをシミュレートしたいと思います。次の操作を行います。 1)私の地域に署名してください。 2)バンドルされていませんが、DNSSEC検証用に設定できません。助けてもらえますか? 自分のゾーンを表示して確認するためにアンバウンドをどのように設定しますか? DSをサーバーにどのように追加しますか? マイニングクエリの広告フラグを設定するには? ...

Admin

Bindbindkeys-fileコマンドの機能は何ですか?
dnssec

Bindbindkeys-fileコマンドの機能は何ですか?

bindkeys-fileバインディング構成のDNSSEC拡張に関するディレクティブが疑問に思います。これは公開鍵ですか?デジタル署名と同じ方法で応答に署名しますか? ...

Admin

dnssec-keygenを介してキーを生成できません。
dnssec

dnssec-keygenを介してキーを生成できません。

$ dnssec-keygen -a HMAC-MD5 -b 512 -n HOST {host} 上記の結果は空行と無限大気です。 $ dnssec-keygen -T DNSKEY -a HMAC-MD5 -b 512 -n HOST {host} 同じ エントロピー: $ cat /proc/sys/kernel/random/entropy_avail 890 PS:私は少し騒音をしようとしています。探す/しかし、これは何の結果ももたらさなかった。 ...

Admin

DDNS転送の問題を解決するには?
dnssec

DDNS転送の問題を解決するには?

BIND 9.10.3-P4-RedHat-9.10.3-12.P4.fc23およびDHCPサーバー4.3.3-P1を実行します。 DNSゾーンはエラーを報告せず、機能しているようです(dig、nslookup、nsupdate、dnssec、rpzなど)。 DHCPは苦情なしに起動してIPを割り当てますが、各クライアントには「pc2.blkdiamonds.lanから10.0.2.63への転送マッピングを追加できません」と同様のログファイルメッセージが表示されます。 マニュアルページ、フォーラム投稿、dhcpユーザーリスト、およびアーカイブを読みましたが...

Admin