DNSSECの問題のトラブルシューティング
DNSSECに関する一般的な問題をトラブルシューティングします。
- DNSSEC構成を検証するために使用できる便利なツールは、BINDのDigツール、DNSVizまたはDNSアナライザです。
- サポートを受ける際は、ゾーンがDNSSEC対応かどうか、存在する親/子DSレコード、
+dnssecを使用して結果を掘るかどうか、およびDNSVizを使用した結果を示すと便利です。 - 信頼チェーンが壊れているとデータが無効とマークされ、ドメインおよびサブドメインがクライアントの検証に見えなくなる可能性があるため、有効な信頼チェーンを維持することが重要です。セキュリティの遅延は、存在しないDNSKEYを指すDSレコードが親ゾーンにある場合です。すべてのDSレコードが存在しないDNSKEYを指している場合、子ゾーンは無効としてマークされます。
- DSレコードを親ゾーンにアップロードする前に、ゾーン内のドメインを問い合せるときに、すべてのネーム・サーバーが予想されるRRSIGレコードを正しく返していることを確認します。親DSレコードでデータの署名が必要であると示されている間に、一部のネーム・サーバーが署名されていない問合せレスポンスを返す場合、リゾルバを検証してもドメイン名は解決されません。