Eu tenho uma zona segmentada do DNSSEC com atualizações dinâmicas e resignação automática. Mas se eu correr:
rndc sync -clean example.com
example.com.signed será atualizado, mas não o arquivo não assinado no qual adiciono novas entradas.
A cada 3 dias eu renuncio a zona para gerar um novo sal.
Se eu renunciar a zona sem que as alterações dinâmicas sejam sincronizadas, ela será excluída.
Existe uma maneira de sincronizar com o arquivo de zona principal e não assinado?
você tem que habilitar dnssec-secure-to-insecure com yes na parte de configuração da zona para o domínio. Do que você tem que desassociar a zona com
nsupdate -l
update delete example.com. DNSKEY
send
quit
depois disso, faça o
rndc sync -clean example.com
copie o example.com.zone.signed para example.com.zone
agora você pode começar a editar e assinar a zona novamente.