我dnssec-policy在我的区域上使用 BIND 9.16 新功能,遵循指导启用 DNSSEC。一切顺利。现在,我需要向我的一个区域添加另一条记录,但在编辑 /var/lib/bind/db.mydomain.com 上的区域文件并使用后:
rndc reload
systemctl restart bind9
我的 .key 文件 Kmydomain.com.xxxx.key 没有被更新,在日志中,我看到带有该区域的旧序列号(已签名)和该区域的新序列号(未签名)的消息。
Oct 8 13:07:04 bind named[622]: zone mydomain.com/IN (unsigned): loaded serial 2021100801
...
Oct 8 13:07:04 bind named[622]: zone mydomain.com/IN (signed): loaded serial 2021100607 (DNSSEC signed)
...
Oct 8 13:07:04 bind named[622]: all zones loaded
Oct 8 13:07:04 bind named[622]: running
Oct 8 13:07:04 bind named[622]: zone mydomain.com/IN (signed): receive_secure_serial: unchanged
Oct 8 13:07:04 bind named[622]: zone mydomain.com/IN (signed): sending notifies (serial 2021100607)
Oct 8 13:07:04 bind named[622]: zone mydomain.com/IN (signed): reconfiguring zone keys
...
Oct 8 13:07:04 bind named[622]: zone mydomain.com/IN (signed): next key event: 08-Oct-2021 17:59:00.636
阅读文档后,我找不到有关要求 BIND 重新签发我的区域的手动步骤的参考,我想知道如何进行。
/etc/bind/named.conf.local 上的域区域是
zone "mydomain.com" in {
type master;
file "/var/lib/bind/db.mydomain.com";
allow-transfer { 123.123.123.123; };
also-notify { 123.123.123.123; };
dnssec-policy default;
};
答案1
最后我使用了“核”选项,从 /var/cache/bind/ 中删除了 mydomain.com 的 K* 文件
rm -f /var/cache/bind/Kmydomain.com.*
然后重新启动 BIND
rndc reload
systemctl restart bind9
我必须生成一个新的 DS 记录并在我的父 DNS 服务器上更新它,但我不能再等了。
如果您知道如何在编辑区域文件时正确地要求 BIND 生成新的(密钥/私有/状态)文件,我真的很想知道。