Fehlerbehebung bei DNSSEC-Problemen
Beheben Sie häufige Probleme mit DNSSEC.
- Nützliche Tools, mit denen Personen ihre DNSSEC-Konfiguration prüfen können, sind BINDs Dig-Tool, DNSViz oder DNS Analyzer.
- Wenn Sie sich an den Support wenden, ist es hilfreich, anzugeben, ob die Zone DNSSEC-fähig ist, welche übergeordneten/untergeordneten DS-Datensätze vorhanden sind, Ergebnisse mit
+dnsseczu graben und die Ergebnisse der Verwendung von DNSViz zu ermitteln. - Die Aufrechterhaltung einer gültigen Vertrauenskette ist wichtig, da fehlerhafte Vertrauensketten dazu führen, dass Daten als ungültig markiert werden, was dazu führen kann, dass Domains und Subdomains für die Verifizierung von Clients unsichtbar werden. Sicherheitslahmheit ist, wenn eine übergeordnete Zone über einen DS-Datensatz verfügt, der auf einen nicht vorhandenen DNSKEY verweist. Wenn alle DS-Datensätze auf nicht vorhandene DNSKEYs verweisen, wird die untergeordnete Zone als ungültig markiert.
- Bevor Sie DS-Datensätze in die übergeordnete Zone hochladen, prüfen Sie, ob alle Namenserver die erwarteten RRSIG-Datensätze korrekt zurückgeben, wenn Sie Domains in der Zone abfragen. Wenn einige Namenserver noch nicht signierte Abfrageantworten zurückgeben, während die übergeordneten DS-Datensätze angeben, dass die Daten signiert werden müssen, löst die Validierung von Resolvern den Domainnamen nicht auf.