O Manual de Referência do Administrador do ISC BIND9 tem extensa documentação sobre DNSSEC , rndc e auto-dnssec (o recurso específico que você está procurando).
Eu tenho um mestre BIND9 (v9.10.3) servindo adequadamente várias zonas assinadas (verificadas com dnsviz, etc.)
Não consegui encontrar em qualquer documentação uma maneira correta de recarregar e renunciar a um arquivo de zona estática. (minhas zonas não são dinâmicas). Para que as zonas atualizadas sejam exibidas de forma confiável, tive que parar a ligação, excluir os arquivos .signed, .signed.jnl e .jbk, atualizar / substituir o arquivo mestre da zona e, em seguida, reiniciar. Não é bom, mas nada mais tentei funcionou.
Posso atualizar o mestre da zona e executar o comando (qual?) rndc para recarregar e renunciar a zona? E haveria um atraso nos resultados dessa operação?
Existe algum administrador on-line do DNSSEC BIND que você achou útil? Eu tenho um bom número marcado, mas nenhum parecia abordar essa operação básica, senão perdi. Obrigado!
O Manual de Referência do Administrador do ISC BIND9 tem extensa documentação sobre DNSSEC , rndc e auto-dnssec (o recurso específico que você está procurando).
Ao atualizar o arquivo de zona não assinado, certifique-se de aumentar o número de série. Dependendo da sua configuração (ou seja, se usar serial-update-method
), o BIND gera novas séries no seu, por exemplo, ao adicionar RRs NSEC3. Então, pode não ser suficiente apenas aumentar o serial em um, no entanto, você pode procurá-lo facilmente usando dig:
dig @localhost example.com SOA
Após atualizar seu arquivo de zona, emita um recarregamento:
rndc reload
Editar:
Para zonas dinâmicas, emita um
rndc freeze
antes de editar o arquivo de zona não assinado e continuar aceitando atualizações dinâmicas depois:
rndc thaw