我们有一个隐形主服务器,它有多个使用 DNSSEC 保护的区域。我们最近升级到 9.11 并启用了 DNSSEC 的自动维护和内联更新。初始区域重新签名和加载过程很顺利。但是,当我现在更新主区域记录和序列号时,更改的区域不会转移到权威从属服务器。事实上,我找不到任何证据表明主区域文件中的更改产生了任何影响。
drill drill harte-lyne.ca gives this:
;; ANSWER SECTION:
harte-lyne.ca. 172800 IN SOA dns01.harte-lyne.ca. nameservice.harte-lyne.ca. 2019040501 10800 3600 1209600 7200
但主文件中的序列号是这样的:2019041603
rndc reload harte-lyne.ca produces this:
zone reload up-to-date
rndc freeze并且thaw不起作用,因为该区域被定义named.conf为主区域而不是动态区域。
在手动更新之后,使用什么技术可以导致绑定立即退出并重新加载修改后的主区域文件?
如果我跑步rndc zonestatus就会得到这个:
# rndc zonestatus harte-lyne.ca
name: harte-lyne.ca
type: master
files: /usr/local/etc/namedb/master/harte-lyne.ca.hosts
serial: 2019041603
signed serial: 2019041617
nodes: 1198
last loaded: Tue, 16 Apr 2019 19:50:26 GMT
secure: yes
inline signing: yes
key maintenance: automatic
next key event: Wed, 17 Apr 2019 13:51:16 GMT
next resign node: _22._tcp.inet17.mississauga.harte-lyne.ca/NSEC
next resign time: Wed, 17 Apr 2019 13:46:37 GMT
dynamic: no
reconfigurable via modzone: no
这告诉我区域正在按计划更新和重新签名。但是,如何强制立即更新并在手动更改主区域文件后通知?
我也不明白这个的重要性next resign node。我无法在现有文档(包括 9.11 管理指南)中找到对此的解释。