named[10137]: validating @0x7fa7cc019410: mail.frogger.nl A: got insecure response; parent indicates it should be secure named[10137]: error (insecurity proof failed) resolving 'mail.frogger.nl/A/IN': 66.96.80.194#53 named[10137]: error (no valid NSEC) resolving 'mail.frogger.nl/A/IN': 85.17.41.33#53 named[10137]: error (no valid NSEC) resolving 'mail.frogger.nl/A/IN': 82.192.67.204#53
Проверка этого хоста на DNSSEC Analizer не показала никаких проблем. Если верить гуглу - я не одинок и проблема возникает с резолвингом хостов, где используется комбинация wildcard (*.frogger.nl, под который и попадает mail.frogger.nl) и DNSSEC. Соответствующие баг репорты открыты в Ubuntu #1203976 и Debian #690569.
В качестве затычки пока выключил валидацию dnssec:
options {
dnssec-validation no; //was "dnssec-validation auto;"
}
Я пробовал сравнивать работу bind9 одинаковой версии (1:9.8.1.dfsg.P1-4) в Ubuntu и Debian: в Debian хост резолвится, а в Ubuntu - нет. Сравнение исходников пакета из Ubuntu и Debian не показывает никакой разницы. Пересборка пакета для Ubuntu тоже не улучшила ситуацию...
Возможно кто-то знает, почему один и тот же пакет bind9 по-разному ведет себя в Debian и Ubuntu?
Этот вариант лучше, чем просто выключить!
ОтветитьУдалить//881<->dnssec-validation auto;// проверка корректности ответов auto(всех, вне зависимости есть ли корень DNSSEC или нет. если корня DNSSEC нет то dns не отрабатывает и в логах ошибки
//88(
<------>dnssec-enable yes;// включение dnssec на уровне сервера
<------>dnssec-validation yes;// проверка корректности ответов yes(если есть корень DNSSEC)
<------>dnssec-lookaside auto;// разрешение использовать сторонние корни DNSSEC
//88)