Вопросы Теги

Не может разрешить общедоступный DNS Google использования веб-сайта

Необходимо будет просто думать о нем как о графе зависимостей, созданном из списка единственных операторов зависимости (края). Вот запуск (который может сделать несколько предположений из Вашего списка):

  • Серверы должны подойти после SAN, так как они (вероятно), зависят от SAN для своего устройства хранения данных.
  • Если у Вас нет истинного консольного доступа, Вы, вероятно, хотите сделать все управление, и покидает в спешке интерфейсы сначала, так как они не будут влиять на текущую производственную деятельность серверов.
  • Кластер после всех реальных хостов изменяется и healthchecked, так как это зависит от счастливого, здорового пакета реальных хостов.

Конечно, также сделайте некоторое модельное испытание для целей маршрутизации, если это переназначение вне подсети старого IP-адреса.

4
задан 7 January 2014 в 15:43
1 ответ

В вашем домене есть запись DS (в родительской зоне): 

dig yippie.nl DS
;; ANSWER SECTION:
yippie.nl.      7181    IN  DS  47534 8 2 07DF0CFD5F01119819B8319F7FEE01F7B8121EA11AB5BDEA765F5396 BB5B9CD1

, но нет записи DNSKEY : 

dig yippie.nl DNSKEY
(no answer section)

И, он не подписан с помощью DNSSEC (без записей RRSIG).

Общедоступный DNS Google проверяет DNSSEC, и, поскольку ваш домен утверждает, что имеет DNSSEC (запись DS), но на самом деле не подписан, любой распознаватель с поддержкой DNSSEC считает это подделкой. Большинство преобразователей DNS сегодня по-прежнему игнорируют DNSSEC, но Google является одним из тех, кто уже начал проверять DNSSEC.

Verisign предоставляет очень удобный инструмент проверки DNSSEC

Чтобы исправить ситуацию, либо

  1. Удалите Запись DS для вашего домена из родительской зоны.

  2. Сделайте так, чтобы зона была правильно подписана с помощью DNSKEY , что соответствует записи DS у тебя уже есть. (Amazon Route 53 не поддерживает DNSSEC , поэтому вы придется либо разместить зону самостоятельно, либо использовать другого провайдера.) В любом случае это можно сделать, только если у вас есть ключ, соответствующий существующему DS.

  3. Подпишите зону новым DNSKEY и замените текущую запись DS на ту. который соответствует используемому вами DNKSEY. См. мой видеогид здесь ( относится к частной службе, с которой я связан .)

2
ответ дан 3 December 2019 в 03:58

Теги

Похожие вопросы