我试图了解即使区域的 SOA 中的序列号不变,PowerDNS 从属服务器是否可以更新记录。我想到的情况如下:
有一台主服务器为 DNSSEC 进行实时签名。背景是我希望能够仅通过更改数据库来提供当前签名的记录。当数据库中的 SOA 序列发生变化时,从属服务器会收到通知并自动检索新(和签名)数据。
但是,根据文档,RRSIG 记录的有效期为一到两周。即使 SOA 未更改,从属服务器是否会自动获取新的 RRSIG 记录?
答案1
是的,如果您通过数据库复制记录,并且所有其他服务器也是 PowerDNS(请参阅有关 DNSSEC 和非 powerdns 副本的说明,例如绑定从属服务器)
警告:如果您有 DNSSEC 签名区域和非 PowerDNS 从属,请检查您的 SOA-EDIT 设置
。
https://doc.powerdns.com/md/authoritative/modes-of-operation/
注意,这也是与 ldap 后端绑定的工作方式(我使用 FreeIPA 和 DNSSEC 的经验)