PowerDNS: DNSSEC für Subdomain

  • Hallo liebes Forum!
    Ich habe zurzeit ein Problem mit PowerDNS und DNSSEC, an dem ich mir seit über 24 Stunden die Zähne ausbeiße, vielleicht kann mir ja hier jemand helfen.


    Folgende Konstellation:
    Ich habe die Domain margau.net mit dem Primären DNS-Server philae.ns.margau.net - das läuft über das MySQL-Backend von PowerDNS, und DNSSEC läuft einwandfrei.
    Nun will ich die Subdomain cdn.margau.net per GeoIP-Backend auf dem selben DNS-Server "global" verteilen.
    Die Beantwortung von Requests selbst läuft auch problemlos, sie werden auch durch PowerDNS signiert.
    Nur habe ich Probleme bei der Veröffentlichung der DS und DNSKEY-Records: In die margau.net Zone (MySQL-Backend) kann ich sie nicht einstellen, weil PowerDNS anfragen an cdn.margau.net direkt vom GeoIP-Backend beantwortet.
    In dieses Backend bekomme ich ja nicht den DS-Key, der von der darüberliegenden Zone (MySQL-Backend) signiert wird. Testweise liegen DNSKEY und DS-Record da sogar schon drin, funktionieren tun sie leider nicht:
    DNSSEC Analyzer - cdn.margau.net


    Per dig bekomme ich die Records leider auch nicht zurück.


    Leider kann ich es auch nicht so lassen, da z.B. Letsencrypt rummeckert:
    DNS problem: SERVFAIL looking up A for cdn.margau.net


    Und Global DNS Propagation Checker - What's My DNS? sieht jetzt auch nicht unbedingt so aus, wie es das sollte.


    Hat jemand eine Idee, wie ich das ganze fixen könnte, ohne direkt 2 neue DNS-Server aufzumachen?


    Danke und Viele Grüße!
    margau