При реализации черного списка DNS с использованием "зоны политики ответа" (RPZ) вы можете в конечном итоге нарушить DNSSEC.
Есть ли обходной путь к этой проблеме, когда вы являетесь администратором клиентов и каждого DNS-сервера?
В данном случае наши внутренние клиенты Windows и Linux связываются с внутренним слоем пересылки Windows и "связывают" DNS-сервер, прежде чем запросы перенаправляются на "внешний" разрешающий "связать" DNS-сервер. Рассматриваемый фильтр RPZ установлен на последнем.
Требование заключается в том, что внешний DNS-сервер должен продолжать выполнять проверку DNSSEC.