DS记录

　　DS(Delegat ion Signer)记录存储DNSKEY的散列值，用于验证DNSKEY的真实性，从而建立一个信任链。不过，与DNSKEY存储在资源记录所有者所在的权威域的区文件中不同，DS记录存储在上级域名服务器(Delegation)中，比如example.com的DS RR存储在.com的区中。

　　下面是一个DS记录的实例：

　　dskey.example.com. 86400 IN DS 60485 5 1 (
　　2BB183AF5F22588179A53B0A
　　98631FAD1A292118 )

　　DS 之后的字段依次是密钥标签(Key Tag)、算法和散列算法(1代表 SHA-1)。后面括号内的内容是dskey.example.com.密钥SHA-1计算结果的16进制表示。Example.com必须为这个记录数字签名，以证实这个DNSKEY的真实性。

　　NSEC记录

　　NSEC记录是为了应答那些不存在的资源记录而设计的。为了保证私有密钥的安全性和服务器的性能，所有的签名记录都是事先(甚至离线)生成的。服务器显然不能为所有不存在的记录事先生成一个公共的“不存在”的签名记录，因为这一记录可以被重放(Replay)；更不可能为每一个不存在的记录生成独立的签名，因为它不知道用户将会请求怎样的记录。

　　在区数据签名时，NSEC记录会自动生成。比如在vpn.test.net和xyz.test.net之间会插入下面的这样两条记录：

　　vpn.test.net. 10800 IN A 192.168.1.100
　　172800 NSEC xyz.test.net. A RRSIG NSEC
　　172800 RRSIG NSEC 5 5 172800 20110611031416 (
　　20110512031416 5271 test.net.
　　Ujw/aq….15dV5tF7XgWSR78= )
　　xyz.test.net. 10800 IN A 192.168.1.200

　　其中NSEC记录包括两项内容：排序后的下一个资源记录的名称(xyz.test.net.)以及vpn.test.net.这一名称所有的资源记录类型(A、RRSIG、NSEC)，后面的RRSIG记录是对这个NSEC记录的数字签名。

　　在用户请求的某个域名在vpn和xyz之间时，如www.test.net.，服务器会返回域名不存在，并同时包括 vpn.test.net的NSEC记录。