在更改配置以解决 Google Domains 中动态 DNS 的弃用问题时2023 年 10 月公告,我更改了 Google Domains 中我的 .org 和 .com 域的名称服务器,使其指向我的新 Cloudflare 帐户。
然后,我解锁了域名并将其从 Google Domains 转移到 Cloudflare。然后,我为我的 IP 地址添加了 A 记录,以便我可以通过其他子域名访问它,但它们没有起作用。读过博客后,我觉得我应该在转移域名之前禁用 Google Domains 中的 DNSSEC。
我后来在 Cloudflare 中打开了 DNSSEC,但现在我不知道如何解决这个问题,因为 Cloudflare 文档只是说“不要那样做”,但没有提供如何解决这种情况的建议。
答案1
一个常见的误解是必须先禁用 DNSSEC。相反,在迁移之前,DS必须先设置新权威 DNS 服务器的记录以及旧记录,然后等待它们的 TTL。
小佩恩如何在不中断 DNSSEC 的情况下迁移 DNS详细并总结了该过程:
迁移 DNSSEC 区域的流程
丢失提供商和获取提供商必须使用相同的 DNSSEC 算法。与迁移过程相关的主要记录是 RRSIG、DNSKEY 和 DS。
- 将区域复制到获取 DNS 服务提供商。
- 使用与丢失提供商中当前 DNSKEY 相同的算法在获得 DNS 服务提供商中签名区域。
- 发布新区域 – 上线。
- 添加获取 DNS 服务提供商的 DS 记录。
- 将区域的委派更改为获取 DNS 服务提供商。
- 删除丢失的 DNS 服务提供商的 DS 记录。
在每个步骤之间,您必须等待相关的 TTL。
既然已经把事情搞砸了,您就必须专注于目标,并接受现在任何启用 DNSSEC 的客户端都会有一些停机时间。