不久前,我部署了 DNSSEC,因为这样做可以减少我在本地域的 DNS 上需要实施的安全配置检查的数量。这些是 Windows Server 2012R2 计算机
这似乎运行良好,但它导致我们必须破坏异地备份安排。我们的 DNS 已设置为将单个主机名解析为我们无法控制的负载平衡设备,然后该设备处理传入数据 - 基本上只是我们将 DPM 备份文件扔到其上的驱动器空间。这是我们域区域内的委派记录,以主机名作为记录的名称,并包含负载平衡器的单个 NS 条目。
花了一点时间才弄清楚 DNSEC 是原因所在,但在与其他网络团队合作后,似乎已经得到证实,而且他们没有计划重新配置任何东西以使其在他们的终端上正常工作。
看来我并没有完全理解 DNSSEC 对此的影响。但是,有没有办法简单地取消 DNSSEC?我当然可以“取消签名”该区域,如 DNS 服务器上的 DNSSEC 菜单所示。但网上似乎没有任何关于此问题的指导,无论是写得好还是最新的。除了简单地取消签名该区域之外,还有其他方法吗?
答案1
除了简单地取消对区域的签名之外,还有什么其他操作吗?
哦,是的,如果您不这样做,您的域名将会消失(从任何验证解析器中)。
首先要做的是删除DS
父母处的记录,您需要通过您的注册员来完成。
然后你需要“等待”。不要给出一个具体的值(因为人们认为 DNS 具有传播功能,但实际上没有),因为它取决于父级和其他因素,你不应该着急。下一周再做。但最好是监视它。查看父级名称服务器何时停止发布记录DS
,考虑它们之前的 TTL 值,以及你自己的记录的 TTLDNSKEY
值RRSIG
。
所有 TTL 过期后,通常没有人会再尝试验证您的区域。
只有在那一刻你才可以安全地停止取消签名,这意味着停止发布和DNSKEY
/记录。RRSIG
NSEC
NSEC3
附言:这不是您想读到的内容,但删除 DNSSEC(尤其是由于其他一些损坏的系统)确实不是一个好主意。您应该花时间修复其他系统。或者设计不同的系统,以便该系统不需要依赖您启用 DNSSEC 的区域。