Por que não posso ter dois registros para o mesmo nome com diferentes TTLs?

Question

Por que não posso ter dois registros para o mesmo nome com diferentes TTLs?

#1 resposta do (0 votos)

0

Acabei de renovar meus certificados TLS, mas ainda não os instalei. Eu pensei em adicionar novos registros TLSA, diminuir os TTLs dos antigos, esperar um pouco, depois trocar os certificados e excluir os registros antigos. O BIND não parece gostar de ter vários registros com o mesmo nome e TTLs diferentes: ele escreveu TTL set to prior TTL em seu log e agora serve os dois registros com o TTL que dei ao primeiro. Escrevi uma zona de teste rápido e executei named-compilezone , com os mesmos resultados:

$TTL 1w

$ORIGIN foo.example.

@                       SOA     bar     hostmaster      (
                                2016020600      1d      3h      1w      1d
                                )

@                       NS      a.ns.example.
@                       NS      b.ns.example.

bar             1w      A       203.0.113.5
bar             1d      A       198.51.100.143

/dev/stdin:11: TTL set to prior TTL (604800)
zone foo.example/IN: loaded serial 2016020600
foo.example.            604800 IN SOA   bar.foo.example. hostmaster.foo.example. 2016020600 86400 10800 604800 86400
foo.example.            604800 IN NS    a.ns.example.
foo.example.            604800 IN NS    b.ns.example.
bar.foo.example.        604800 IN A     198.51.100.143
bar.foo.example.        604800 IN A     203.0.113.5
OK

Eu pesquisei RFC 1035 e o manual do BIND , mas não consegui encontrar nada que diga que os registros para o mesmo nome precisam ter o mesmo TTL. Então, o que dá?

dns bind

por Blacklight Shining 05.02.2016 / 12:03

1 resposta

Tags dns bind

Orientação básica de configuração necessária como criar um arquivo tar no mac

score 0 · Accepted Answer

Primeiro, eu perguntaria por que você quer fazer isso, qual é o seu caso de uso? Há quase certamente uma maneira melhor ...,

Isso foi imposto por um longo tempo agora, e é por isso que você recebe uma mensagem de log informando qual TTL normalizou os dois registros (604800 neste caso).

A simples razão para isso - e faz todo o sentido se você pensar nisso - é para que ambos os registros sejam liberados do cache ao mesmo tempo em um servidor DNS resolvido na Internet em algum lugar, e ambos sejam recuperados recentemente. da próxima vez que um disco for perguntado naquele lugar distante. Esse é o único controle que você tem como proprietário de domínio em caches DNS remotos. Se não fizesse isso, então seu registro mais curto TTL seria liberado primeiro deixando o TTL mais longo no cache por si só. Se isso for para um servidor da Web, você acabou de perder a redundância nesse local distante, porque esse servidor DNS local só retornará esse registro A pelo resto da semana. Isso acaba levando a um comportamento errático que pode ser difícil de solucionar.