DNSSEC - Флаг рекламы, не активированный
Один путь состоит в том, чтобы купить сервер с Основой Windows Server на нем, которая является "более дешева, чем SBS" 15 пользовательских Windows Server 2008 R2 только для OEM без требований CAL.
Вы не будете. AD не установлен авторитетными серверами, только рекурсивными сопоставителями, которые проверили цепочку доверия. Я знаю, что это кажется глупым, так как авторитетный сервер имеет ключи - но это - то, как это.
-
1Хорошо, спасибо. Таким образом, я должен запросить запрос с тупикового сопоставителя на рекурсивный сопоставитель, для получения ответа с AD битом, правильно? – 13 September 2010 в 12:58
На ответ user53814 Вы не доберетесь AD бит с авторитетного сервера. Это дизайном - просто, потому что сервер имеет ключи, не доказывает, что он имеет правильные ключи.
Ваш рекурсивный сопоставитель выполнит проверку, но это не передаст обратно AD бит, если клиент не указал на осведомленность DNSSEC путем отправки DO бит в запросе (т.е. с +dnssec опция к dig). Это - то, как DNSSEC поддерживает назад совместимость путем обеспечения, что неожиданные данные DNSSEC не отправляются клиентам, которые не ожидают это.
Обратите внимание однако, что Ваш проверяющий рекурсивный сопоставитель все еще укажет на отказ проверки путем возврата a SERVFAIL код ошибки. Следовательно тупик, который не DNSSEC-знает, может все еще быть защищен от получения плохих ответов только, говоря с DNSSEC-осведомленным recursor.
У меня была такая же проблема. И решил это, обновив привязку, содержащуюся в Debian jessie (1: 9.9.5.dfsg-7), и поместив следующее в dnssec-validation auto; в /etc/bind/ named.conf.options . Теперь рекламный флаг установлен для всех, кроме авторитетных доменов.