МагПро DNS. Проверка DNSSEC при помощи утилиты «dig»

Для проверки работы резолвера или DNS-сервера удобно использовать утилиту dig.

dig позволяет увидеть подробную картину разрешения имени. Для того чтобы убедиться, что сервер или резолвер работает корректно, можно использовать следующие команды, предварительно добавив в конфигурационный файл ключ домена в качестве доверенного:

dig @xx.xx.xx.xx www.m-system.net +dnssec

xx.xx.xx.xx — ip адрес Вашего резолвера, поддерживающего ГОСТ. После выполнения этой команды в ответе должен присутствовать флаг ad — данные подтверждены.
Если ad флаг отсутствует, но Вы запрашиваете адрес имени из домена, ключ которого Вы добавили в доверенные — что-то не так.

Ответ SERVFAIL значит, что подпись не соответствует доверенному ключу либо отсутствует.

dig @xx.xx.xx.xx www.m-system.net +dnssec +cd

xx.xx.xx.xx — ip адрес вашего резолвера, поддерживающего ГОСТ. Данная команда выдаст данные, даже если они признаны не авторитетными. Таким образом можно, например, проверить данные, если ответ от сервера — SERVFAIL.