系统:Debian 10,
绑定:BIND 9.11.5-P4-5.1-Debian
命名.conf.本地:
zone "example.com" {
type master;
file "/zones/db.example.com";
inline-signing yes;
auto-dnssec maintain;
serial-update-method increment;
key-directory "/etc/bind/keys";
};
DNSSEC(使用官方 Debian 配置文档) 工作正常。但更新 A 记录(将名称和序列号 2020051401 修改为 2020051501):来自:
testnode-100 IN A 10.10.10.254
到:
testnode-010 IN A 10.10.10.254
在 db.example.com 中重新启动(rndc reload、service bind9 restart)不会更改签名区域中的更新记录(出现新的序列号)。dig 查询仅适用于旧记录名称(testnode-100.example.com)。
rndc zonestatus example.com:
name: example.com
type: master
files: /zones/db.example.com
serial: 2020051501
signed serial: 2020051501
nodes: 14
last loaded: Thu, 14 May 2020 11:32:07 GMT
secure: yes
inline signing: yes
key maintenance: automatic
next key event: Fri, 15 May 2020 08:22:32 GMT
next resign node: imap.example.com/A
next resign time: Wed, 20 May 2020 00:11:28 GMT
dynamic: no
reconfigurable via modzone: no
如果我创建新的 A 记录,则可以查询它(例如 test.example.com),从 db.example.com 中删除它并重新启动绑定后,我仍然可以查询该记录。