Ist 'dnssec-validation' im bind an und betrachtet man die Validierung wie eine SSL-Zertifikatskette, so muss sich der Server zuerst den Key von der root Zone (TLD?) holen. In meinem Fall gibt es aber ".box" gar nicht. Die DNSSEC Implemetierung ist nun (vielleicht zu Recht) so empfindlich, dass sie nur "hier hast du den Key" (DS/DLV) oder "DNSSEC mache ich nicht" akzeptiert. Ein "die zone gibt es nicht" führt zu "Fehlvalidation".
Ich habe also flink lokal die zone box angelegt, in der ich für die Subzone fritz den NS auf das remote Tunnelende setze. Nun gehts auch mit aktiviertem 'dnssec-validation'.
Bestimmt hätte man für die Erklärung treffendere und korrekte Begriffe gefunden.
Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen
www.seffner.de | ronny@seffner.de | +49 35245 72950