Необходимо будет просто думать о нем как о графе зависимостей, созданном из списка единственных операторов зависимости (края). Вот запуск (который может сделать несколько предположений из Вашего списка):
Конечно, также сделайте некоторое модельное испытание для целей маршрутизации, если это переназначение вне подсети старого IP-адреса.
В вашем домене есть запись DS
(в родительской зоне):
dig yippie.nl DS
;; ANSWER SECTION:
yippie.nl. 7181 IN DS 47534 8 2 07DF0CFD5F01119819B8319F7FEE01F7B8121EA11AB5BDEA765F5396 BB5B9CD1
, но нет записи DNSKEY
:
dig yippie.nl DNSKEY
(no answer section)
И, он не подписан с помощью DNSSEC (без записей RRSIG).
Общедоступный DNS Google проверяет DNSSEC, и, поскольку ваш домен утверждает, что имеет DNSSEC (запись DS), но на самом деле не подписан, любой распознаватель с поддержкой DNSSEC считает это подделкой. Большинство преобразователей DNS сегодня по-прежнему игнорируют DNSSEC, но Google является одним из тех, кто уже начал проверять DNSSEC.
Verisign предоставляет очень удобный инструмент проверки DNSSEC
Чтобы исправить ситуацию, либо
Удалите Запись DS
для вашего домена из родительской зоны.
Сделайте так, чтобы зона была правильно подписана с помощью DNSKEY
, что соответствует записи DS
у тебя уже есть. (Amazon Route 53 не поддерживает DNSSEC , поэтому вы
придется либо разместить зону самостоятельно, либо использовать другого провайдера.)
В любом случае это можно сделать, только если у вас есть ключ, соответствующий существующему DS.
Подпишите зону новым DNSKEY и замените текущую запись DS на ту. который соответствует используемому вами DNKSEY. См. мой видеогид здесь ( относится к частной службе, с которой я связан .)