web-dev-qa-db-fra.com

Le serveur DNS Ubuntu fonctionne mais génère des erreurs dans syslog

c'est ma première question sur le forum ici, alors s'il vous plaît, allez-y doucement sur moi. Je suis un novice en Linux et j'ai essayé de créer mon propre serveur Ubuntu (nom du serveur: araliya, domaine: autun.hom, IP: 192.168.1.99). J'ai tout installé et j'ai installé bind9 pour installer un serveur DNS à l'aide du tutoriel posté ici ( Comment puis-je effectuer une configuration complète du serveur DNS BIND9 avec un nom d'hôte? ).

En fait, tout s’est très bien passé, jusqu’à la toute fin, lorsque j’ai dû vérifier si le serveur DNS fonctionnait. Quand j'ai donné la commande suivante, j'ai eu une bonne sortie.

> named-checkzone autun.hom /etc/bind/zones/db.autun.hom
  zone autun.hom /IN: loaded serial   2
  Ok

Cependant, lorsque j'ai fait la même chose pour ma recherche DNS inversée, j'ai obtenu une réponse légèrement différente.

> named-checkzone autun.hom /etc/bind/zones/db.192
  zone autun.hom /IN: loaded serial   1
  Ok

Le tutoriel disait que la sortie de "named-checkzone" devrait être la même pour les zones de recherche directe et inverse. Mais la valeur "série chargée" que je reçois est différente entre les deux réponses.

Lorsque j'ai suivi tous les autres tests, y compris Dig, nom d'hôte, nslookup, le résultat est bon. En fait, mon serveur DNS semble fonctionner. Lorsque j'ai vérifié le syslog, cependant, j'ai beaucoup d'erreurs:

May 10 20:09:04 araliya named[1026]: validating @0x7f1314706200: . NS: got insecure          response; parent indicates it should be secure
May 10 20:09:04 araliya named[1026]: error (insecurity proof failed) resolving  './NS/IN': 192.168.1.1#53
May 10 20:09:12 araliya named[1026]: validating @0x7f1314706200: . NS: got insecure response; parent indicates it should be secure
May 10 20:09:12 araliya named[1026]: error (insecurity proof failed) resolving './NS/IN': 192.168.1.1#53
May 10 20:09:13 araliya named[1026]: error (network unreachable) resolving './NS/IN': 2001:7fe::53#53
May 10 20:09:24 araliya named[1026]: validating @0x7f1314706200: . NS: got insecure response; parent indicates it should be secure
May 10 20:09:24 araliya named[1026]: error (insecurity proof failed) resolving './NS/IN': 192.168.1.1#53

La chose étrange est que tous les noms d’hôtes sont résolus correctement, mais il semble que j’ai commis une erreur quelque part. Est-ce que quelqu'un peut m'aider à localiser l'erreur?

networkingserverdns
7
user280327

Ces messages d'erreur sont liés à dnssec. Supprimez ou commentez toutes les lignes de /etc/bind/named.conf.options qui commencent par dnssec et redémarrez bind9.

La meilleure explication de ce qui se passe que je pourrais trouver est ici :

Lorsque le validateur reçoit une réponse d'une zone non signée ayant un parent signé, il doit confirmer auprès du parent que la zone a été intentionnellement laissée non signée. Pour ce faire, il vérifie, via des enregistrements NSEC/NSEC3 signés et validés, que la zone parent ne contient aucun enregistrement DS pour l'enfant.

Si le validateur peut prouver que la zone n'est pas sécurisée, la réponse est acceptée. Cependant, s'il ne le peut pas, il doit alors supposer qu'une réponse non sécurisée est un faux; il rejette la réponse et enregistre une erreur.

L'erreur consignée lit "échec de la preuve d'insécurité" et "réponse non sécurisée; le parent indique qu'elle doit être sécurisée". (Avant BIND 9.7, l'erreur consignée n'était "pas non sécurisée". Cela concernait la zone et non la réponse.)

5
itsadok

Ajouter la ligne ci-dessous à votre "/ etc/default/bind9"

comme ci-dessous:

# startup options for the server
OPTIONS="-u bind -4"
0
karan