与RPZ绑定中断了域转发？

Question

我想使用我现有的内部DNS绑定服务器，并添加一些RPZ安全性。以前，我将DNS拆分，内部视图设置为将3个特定域转发到我的办公室内部DNS服务器。

    zone "company.tld" IN {
            type forward;
            forward only;
            forwarders { 
                    10.10.161.1;
                    10.11.161.1;
                    };

效果很好。有一次，我在与传输提供商签约后添加了RPZ：

    response-policy {
    zone "oisd-full.ioc2rpz" policy nxdomain;
    } 
    qname-wait-recurse no break-dnssec yes;

我可以看到我的RPZ工作得很好，但是我的转发区域正在RPZ中被捕获。(是的，我曾为之工作过的许多公司之一无意中使用了一个内部TLD，而这个TLD现在在某人的淘气名单上)。

我尝试将此域设置为白名单，但绑定要求我的区域定义为主类型或从类型，而不是转发类型。

我没有找到一个很好的例子，任何人都具备这两种功能。IE:允许Bind首先查看所有的本地区域，在RPZ之前，或者标记一个白名单，这样如果标记为passthru，它仍然会查看它的视图配置。

想法？

Answer 1

在调试更多的日志(启用大量日志)时，我找到了问题的根源。当我更新Bind9以支持RPZ时，我没有意识到我已经启用了DNSSEC，并且我的转发器失败了信任链(因为它没有)。我故意在全球禁用DNSSEC，我的RPZ白名单与我的公司AD域在我的白名单区域，因为PASSTHRU现在工作。

现在我开始学习DNSSEC，以便更好地理解它，并在磁盘填满之前关闭查询日志记录。