我有一个主 BIND9(v9.10.3),可以正确服务多个签名区域(已通过 dnsviz 等验证)
我在任何文档中都找不到重新加载和重新签署静态区域文件的正确方法。(我的区域不是动态的)。为了让更新的区域可靠地提供服务,我不得不停止绑定,删除 .signed、.signed.jnl 和 .jbk 文件,更新/替换区域主文件,然后重新启动。不太好,但我尝试的其他方法都没有用。
我可以更新区域主机,然后执行(哪个?)rndc 命令来重新加载并重新签发区域吗?该操作的结果会有延迟吗?
有没有你觉得有用的在线 DNSSEC BIND 管理员?我收藏了很多,但似乎没有一个能解决这个基本操作,或者我错过了。谢谢!
答案1
更新未签名区域文件时,请务必增加序列号。根据您的设置(即,如果使用serial-update-method
),BIND 会在添加 NSEC3 RR 时在其上生成新序列号。因此,仅将序列号增加一可能还不够,但是,您可以使用 dig 轻松查找它:
dig @localhost example.com SOA
更新区域文件后,重新加载:
rndc reload
编辑:
对于动态区域,发出
rndc freeze
在编辑未签名的区域文件之前,然后继续接受动态更新:
rndc thaw
答案2
ISC BIND9 管理员参考手册有关于 DNSSEC、rndc 和 auto-dnssec(您正在寻找的特定功能)的大量文档。