Ich versuche herauszufinden, ob PowerDNS-Slaves Datensätze aktualisieren können, auch wenn sich die Seriennummer in der SOA für die Zone nicht ändert. Dabei denke ich an das folgende Szenario:
Es gibt einen Master-Server, der Live-Signaturen für DNSSEC durchführt. Hintergrund ist, dass ich in der Lage sein möchte, aktuelle signierte Datensätze bereitzustellen, indem ich nur die Datenbank ändere. Wenn sich die SOA-Seriennummer in der Datenbank ändert, werden die Slaves benachrichtigt und rufen die neuen (und signierten) Daten automatisch ab.
Allerdings haben die RRSIG-Records laut Dokumentation eine Gültigkeit von einer bis zwei Wochen. Würden die Slaves neue RRSIG-Records automatisch abrufen, auch wenn die SOA nicht geändert wird?
Antwort1
Ja, wenn Sie die Datensätze über die Datenbank replizieren und alle anderen Server auch PowerDNS sind (siehe Hinweis zu DNSSEC und Nicht-PowerDNS-Replikaten, wie z. B. Bind-Slaves).
Achtung: Wenn Sie DNSSEC-signierte Zonen und Nicht-PowerDNS-Slaves haben, überprüfen Sie bitte Ihre SOA-EDIT-Einstellungen
.
https://doc.powerdns.com/md/authoritative/modes-of-operation/
Beachten Sie, dass dies auch die Funktionsweise von Bind mit LDAP-Backends ist (meine Erfahrung mit FreeIPA und DNSSEC).